Annuncio pubblicitario

Il negozio online di biglietti di auguri Moonpig ha esposto i dati dei clienti agli hacker per almeno 15 mesi, nonostante gli avvertimenti di un esperto che ci fosse un buco che doveva essere collegato.

Ci sono più lezioni qui. Il primo: l'arroganza corporativa è pericolosa. Secondo: è importante educare i clienti e assicurarsi che le aziende lavorino per proteggerli. E il terzo: un "nome noto" non è necessariamente sicuro.

Moonpig è un negozio di biglietti d'auguri online che vende biglietti e tazze personalizzati attraverso il loro sito web. Molto popolare (grazie alla normale pubblicità televisiva), Moonpig ha spedito 6 milioni di carte nel Regno Unito nel 2007. Mentre è un sito britannico (con sede a Londra e nell'isola del Canale di Guernsey), questa è una situazione che interessa gli acquirenti e i proprietari di negozi online in tutto il mondo.

The Moonpig Hack: What Happened?

Nel 2013, lo sviluppatore Paul Price ha scoperto che le richieste di API mobili sul sito Web Moonpig.com potevano essere violate, consentendo così agli hacker criminali di effettuare ordini su qualsiasi account. Inoltre, è possibile visualizzare dati quali nomi dei clienti, data di nascita, indirizzo, scadenze della carta di credito e le ultime quattro cifre della carta.

instagram viewer

muo-sicurezza-Moonpig-hack-scheda

I siti Web che offrono acquisti online di solito forniscono limiti di velocità che riducono l'impatto degli script automatici, ma Moonpig ha omesso di farlo, rendendolo un obiettivo facile e aperto per gli hacker.

Inizialmente informato da Price della vulnerabilità a metà 2013, Moonpig ha affermato che l'avrebbero risolta immediatamente; 18 mesi dopo, la vulnerabilità è rimasta.

Ha detto Price quando lui pubblicato i dettagli della vulnerabilità in linea:

"Ho visto alcune misure di sicurezza a metà del mio tempo, ma questo richiede solo il biscotto. Chiunque architetti questo sistema deve essere imbarcato. Ogni richiesta API è così: non esiste alcuna autenticazione e puoi passare qualsiasi ID cliente per impersonarli. Un utente malintenzionato può facilmente effettuare ordini sugli account di altri clienti, aggiungere o recuperare informazioni sulla carta, visualizzare gli indirizzi salvati, visualizzare gli ordini e molto altro ancora. "

In sostanza, veniva utilizzata l'autenticazione di base e i dati dell'account rivelati senza controlli di autenticazione.

Price ha deciso di rendere pubblico l'hack dopo che Moonpig ha risposto al suo contatto di follow-up nel settembre 2014 per porre rimedio a Natale. Quando ha rivelato tutto il 5 gennaioesimo, doveva ancora essere collegato.

La reazione di Moonpig all'hack

La lezione di questa storia non è tanto sull'hacking - stanno accadendo sempre di più nel settore dello shopping online - ma sull'atteggiamento dell'azienda e su cosa questo significhi per i consumatori.

Se consideriamo il volume degli hack negli ultimi due anni, come perdita eBay ancora inspiegabile La violazione dei dati di eBay: cosa devi sapere Leggi di più e Obiettivo perdere 40 milioni di carte di credito Target conferma fino a 40 milioni di clienti statunitensi Carte di credito potenzialmente compromesseTarget ha appena confermato che un hack potrebbe aver compromesso le informazioni della carta di credito fino a 40 milioni di clienti che hanno fatto acquisti nei suoi negozi statunitensi tra il 27 novembre e il 15 dicembre del 2013. Leggi di più allora possiamo vedere che sembra esserci nella migliore delle ipotesi un'ignoranza, nel peggiore dei casi compiacenza, verso la sicurezza online.

Prendi, ad esempio, la risposta di Moonpig alla notizia:

Siamo a conoscenza dei reclami relativi ai dati dei clienti e possiamo confermare che tutte le password e le informazioni di pagamento sono e sono sempre state al sicuro.

- Tombpig?? (@MoonpigUK) 6 gennaio 2015

Questo tentativo di limitare i danni fu immediatamente chiamato:

.@MoonpigUK A parte i nomi, le date di scadenza e le ultime 4 cifre che sono state accessibili semplicemente tramite l'API per oltre 17 mesi... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 gennaio 2015

A parte il disastro delle pubbliche relazioni, l'incapacità di Moonpig di affrontare la questione in modo tempestivo mette in luce il importanza di eseguire regolarmente test di penetrazione sui siti Web che si affacciano su Internet, nonché di rispondere alla sicurezza avvisi tempestivi.

In che modo i clienti possono trarre vantaggio dalle vulnerabilità della sicurezza

Non è chiaro se alcuni dati siano stati rubati da Moonpig tramite questa vulnerabilità e sulla base dei loro sforzi di limitazione del danno finora non avrebbero probabilmente condiviso le informazioni anche se le avessero.

Gli infiniti problemi con la sicurezza dello shopping online negli ultimi 24 mesi hanno iniziato a minare la fiducia nel settore. Mentre eBay sta dando poco in questa fase, per esempio (e non ha mai confermato come i loro dati sono stati hackerati) lo è notevole spinta verso annunci gratuiti e altri bonus durante la metà del 2014 suggerisce che molti utenti sono rimasti lontano.

muo-sicurezza-Moonpig-hack-card2

A parte il lancio di azioni civili contro queste società, gli unici veri passi che i clienti possono fare contro il flagrante abuso e l'insicurezza dei loro dati (e se sei un cliente Moonpig.com vale la pena verificare eventuali promesse di sicurezza dei dati nei termini e condizioni originali) è votare con il loro portafogli.

Con l'esplosione dei servizi di corriere e consegne di droni, vasti magazzini in tutto il paese e vaste consegne, Amazon sta dimostrando come soddisfare gli ordini dei clienti e mantenere i loro dati al sicuro (finora). Altre aziende dovrebbero usare Amazon come esempio, piuttosto che un modello approssimativo per tentare di imitare. In caso contrario, ciò può comportare solo la fine dello shopping online o il dominio totale di Amazon.

Solo prendendo provvedimenti per fare acquisti altrove, possiamo beneficiare dei negozi online che prendono sul serio le loro responsabilità.

Non uscire ancora dallo shopping online: acquista solo in modo più intelligente

Negli ultimi due anni abbiamo visto troppi grandi nomi hackerati. Ma queste intrusioni e le successive perdite di dati non significano che devi rimanere un cliente. In effetti, dovresti fare il contrario e puntare ai concorrenti più sicuri, oppure fare acquisti in loco, invece. Se vieni sorpreso e fai acquisti in un sito che è stato violato, potresti anche farlo considera queste opzioni alternative Conservare il tuo negozio a farsi hackerare? Ecco cosa fare Leggi di più .

Certo, potresti avere una soluzione migliore. Quindi usa i commenti per condividerlo e tutte le storie correlate che potresti avere.

Credito immagine: Acquisti online tramite Shutterstock

Christian Cawley è vicedirettore per la sicurezza, Linux, DIY, programmazione e spiegazione tecnica. Produce anche The Really Useful Podcast e ha una vasta esperienza nel supporto di desktop e software. Un collaboratore della rivista Linux Format, Christian è un armeggiatore di Raspberry Pi, amante di Lego e fan dei giochi retrò.