Negozio online di biglietti di auguri Moonpig ha esposto i dati dei clienti agli hacker per almeno 15 mesi, nonostante gli avvertimenti di un esperto in merito alla presenza di un foro che doveva essere tappato.
Ci sono più lezioni qui. Il primo: l'arroganza corporativa è pericolosa. Secondo: è importante che i clienti si istruiscano e si assicurino che le aziende lavorino per mantenerle al sicuro. E il terzo: un "nome conosciuto" non è necessariamente sicuro.
Moonpig è un negozio online di biglietti di auguri che vende carte e tazze personalizzate attraverso il loro sito web. Molto popolare (grazie alla normale pubblicità televisiva), Moonpig ha spedito 6 milioni di carte nel Regno Unito nel 2007. Mentre un sito britannico (con sede a Londra e Channel Island of Guernsey), questa è una situazione che colpisce gli acquirenti e i proprietari di negozi online in giro il mondo.
The Moonpig Hack: What Happened?
Nel 2013, lo sviluppatore Paul Price ha scoperto che le richieste API mobili sul sito Web Moonpig.com potevano essere compromesse, consentendo in tal modo agli hacker criminali di effettuare ordini su qualsiasi account. Inoltre, è possibile visualizzare dati quali i nomi dei clienti, la data di nascita, l'indirizzo, le scadenze della carta di credito e le ultime quattro cifre della carta.
I siti web che offrono shopping online di solito offrono limitatori di frequenza che riducono l'impatto degli script automatici, ma Moonpig ha omesso di farlo, rendendolo un obiettivo facile e aperto per gli hacker.
Inizialmente informato da Price della vulnerabilità a metà del 2013, Moonpig ha affermato che l'avrebbero risolto subito; 18 mesi dopo, la vulnerabilità è rimasta.
Detto prezzo quando ha pubblicato i dettagli della vulnerabilità online:
"Ho visto alcune misure di sicurezza mezze misure nel mio tempo, ma questo prende solo il biscotto. Chiunque architetti questo sistema deve essere sottoposto a waterboarding. Ogni richiesta API è come questa: non esiste alcuna autenticazione e puoi passare in qualsiasi ID cliente per impersonarli. Un utente malintenzionato potrebbe facilmente effettuare ordini su altri account clienti, aggiungere o recuperare informazioni sulla carta, visualizzare gli indirizzi salvati, visualizzare ordini e molto altro ancora. "
In sostanza, veniva utilizzata l'autenticazione di base e i dati dell'account venivano rivelati senza verifiche di autenticazione.
Price ha deciso di rendere pubblico l'hack dopo che Moonpig ha risposto al suo contatto di follow-up nel settembre 2014 per avere la soluzione entro Natale. Quando ha rivelato tutto il 5 gennaio, doveva ancora essere collegato.
La reazione di Moonpig all'hack
La lezione di questa storia non riguarda tanto l'hack: stanno accadendo sempre di più nel settore dello shopping online, ma l'atteggiamento dell'azienda e cosa questo significhi per i consumatori.
Se consideriamo il volume di hack negli ultimi due anni, come la fuga di eBay ancora inspiegabile La violazione dei dati su eBay: Che cosa è necessario sapere La violazione dei dati su eBay: Che cosa è necessario sapere Ulteriori informazioni e Target perdere 40 milioni di carte di credito Obiettivo conferma fino a 40 milioni di clienti USA Le carte di credito potenzialmente target compromessi confermano fino a 40 milioni di clienti USA Carte di credito potenzialmente hackerate Target ha appena confermato che un hack potrebbe aver compromesso le informazioni della carta di credito per un massimo di 40 milioni di clienti che hanno effettuato acquisti negli Stati Uniti negozi tra il 27 novembre e il 15 dicembre 2013. Leggi di più quindi possiamo vedere che sembra esserci nel migliore dei casi un'ignoranza, nel peggiore dei casi di totale autocompiacimento, verso la sicurezza online.
Prendi, ad esempio, la risposta di Moonpig alle notizie:
Siamo a conoscenza delle richieste relative ai dati dei clienti e possiamo confermare che tutte le informazioni su password e pagamento sono e sono sempre state al sicuro.
- Moonpig (@MoonpigUK) 6 gennaio 2015
Questo tentativo di limitare i danni è stato immediatamente chiamato:
. @ MoonpigUK Davvero? Questa è la tua strategia per affrontare la tua negligenza? Mentene a riguardo?
- Chris Ward (@christopherward), 6 gennaio 2015
. @ MoonpigUK Oltre ai nomi, le date di scadenza e le ultime 4 cifre che sono state accessibili semplicemente tramite la tua API per oltre 17 mesi ... @Charlotteis
- James Seymour-Lock (@JamesSLock), 6 gennaio 2015
A parte il disastro delle pubbliche relazioni, l'incapacità di Moonpig di affrontare il problema in modo tempestivo mette in evidenza l'importanza di regolari test di penetrazione nei siti Web che si affacciano su Internet, oltre a rispondere prontamente alle segnalazioni di sicurezza.
In che modo i clienti possono trarre vantaggio dalle vulnerabilità della sicurezza
Non è chiaro se alcuni dati siano stati rubati da Moonpig tramite questa vulnerabilità, e in base ai loro sforzi di limitazione del danno finora non avrebbero probabilmente condiviso le informazioni anche se ce l'avessero.
Gli infiniti problemi con la sicurezza dello shopping online negli ultimi 24 mesi hanno iniziato a minare la fiducia nel settore. Sebbene eBay stia dando poco in questa fase, ad esempio (e non ha mai confermato in che modo i loro dati sono stati violati), la notevole spinta verso le inserzioni gratuite e altri bonus durante la metà del 2014 suggerisce che molti utenti sono rimasti lontani.
A meno di avviare azioni civili contro queste aziende, gli unici veri passi che i clienti possono intraprendere contro l'abuso flagrante e l'insicurezza dei loro dati (e se sei un cliente di Moonpig.com vale la pena di verificare eventuali promesse di sicurezza dei dati nelle tue condizioni originali e condizioni) è quello di votare con i loro portafogli.
Con l'esplosione dei servizi di corriere e consegne di droni, vasti magazzini in tutto il paese e vaste consegne, Amazon sta dimostrando come soddisfare gli ordini dei clienti e mantenere i loro dati al sicuro (finora). Altre aziende dovrebbero usare Amazon come esempio, piuttosto che un modello approssimativo per tentare di imitare. La mancata esecuzione di questa operazione può comportare solo la fine dello shopping online o il dominio totale di Amazon.
Solo prendendo le misure per fare acquisti altrove possiamo beneficiare dei negozi online che prendono sul serio le loro responsabilità.
Non smettere mai di fare acquisti online: basta acquistare in modo più intelligente
Negli ultimi due anni abbiamo visto troppi grandi nomi hackerati. Ma queste intrusioni e le successive perdite di dati non significano che devi rimanere cliente. In effetti, dovresti fare l'opposto e dirigersi verso i concorrenti più sicuri, o acquistare a livello locale, invece. Se sei scoperto e fai acquisti su un sito che è stato violato, potresti anche considerare queste opzioni alternative Store You Shop At Get Hacked? Ecco cosa fare negozio negozio Acquista Hacked? Ecco cosa fare per saperne di più.
Certo, potresti avere una soluzione migliore. Quindi usa i commenti per condividerli e tutte le storie correlate che potresti avere.
Credito immagine: acquisti online tramite Shutterstock