Le magasin de cartes de vœux en ligne Moonpig a exposé les données des clients aux pirates pendant au moins 15 mois, malgré les avertissements d'un expert selon lesquels il y avait un trou à brancher.
Il y a plusieurs leçons ici. Le premier: l'arrogance des entreprises est dangereuse. Deuxièmement: il est important pour les clients de s'éduquer et de s'assurer que les entreprises travaillent pour assurer leur sécurité. Et le troisième: un «nom connu» n'est pas nécessairement sûr.
Moonpig est un magasin de cartes de vœux en ligne qui vend des cartes et des tasses personnalisées sur leur site Web. Très populaire (grâce à la publicité télévisée régulière), Moonpig a expédié 6 millions de cartes au Royaume-Uni en 2007. Alors qu'il s'agit d'un site britannique (basé à Londres et sur l'île anglo-normande de Guernesey), cette situation affecte les acheteurs et les magasins en ligne. le monde.
The Moonpig Hack: Que s'est-il passé?
En 2013, le développeur Paul Price a découvert que les demandes d'API mobile sur le site Moonpig.com pouvaient être piratées, permettant ainsi aux pirates informatiques de passer des commandes sur n'importe quel compte. De plus, des données telles que les noms des clients, la date de naissance, l'adresse, les expirations par carte de crédit et les quatre derniers chiffres de la carte peuvent être consultées.
Les sites Web qui offrent des achats en ligne offrent généralement des limiteurs de débit qui réduisent l'impact des scripts automatisés, mais Moonpig a omis de le faire, ce qui en fait une cible facile et ouverte pour les pirates informatiques.
Initialement informé par Price de la vulnérabilité à la mi-2013, Moonpig a affirmé qu'ils le répareraient tout de suite; 18 mois plus tard, la vulnérabilité est restée.
Dit Price quand il a publié les détails de la vulnérabilité en ligne:
"J'ai vu des mesures de sécurité à demi-arsed dans mon temps mais cela prend juste le biscuit. Celui qui construit ce système doit être waterboardé. Chaque demande d'API est comme ceci: il n'y a pas d'authentification du tout et vous pouvez passer n'importe quel identifiant de client pour usurper leur identité. Un attaquant pourrait facilement passer des commandes sur d'autres comptes de clients, ajouter ou récupérer des informations de carte, voir des adresses sauvegardées, voir des commandes et bien plus encore.
Essentiellement, l'authentification de base était utilisée et les données de compte révélées sans vérification d'authentification.
Prix a décidé de rendre public le hack après Moonpig a répondu à son contact de suivi en Septembre 2014 pour avoir la solution en place par Noël. Quand il a tout révélé le 5 janvier, il n'avait pas encore été branché.
La réaction de Moonpig au Hack
La leçon de cette histoire n'est pas tellement sur le hack - ils se produisent de plus en plus dans l'industrie du shopping en ligne - mais sur l'attitude de l'entreprise, et ce que cela signifie pour les consommateurs.
Si nous considérons le volume de hacks au cours des deux dernières années, comme la fuite d'eBay encore inexpliquée, la violation de données eBay: ce que vous devez savoir la violation de données eBay: ce que vous devez savoir perdre et perdre 40 millions de cartes de crédit Cible potentielle jusqu'à 40 millions de clients américains Cartes de crédit potentiellement piratées Confirme jusqu'à 40 millions de clients américains Cartes de crédit Potentiellement piraté Target vient de confirmer qu'un piratage aurait pu compromettre les informations de carte de crédit de jusqu'à 40 millions de clients qui ont fait des achats aux États-Unis magasins entre le 27 novembre et le 15 décembre 2013. Lire la suite, alors nous pouvons voir qu'il semble y avoir au mieux une ignorance, au pire une totale complaisance, vers la sécurité en ligne.
Prenez, par exemple, la réponse de Moonpig aux nouvelles:
Nous connaissons les réclamations concernant les données client et pouvons confirmer que toutes les informations de mot de passe et de paiement sont et ont toujours été sécurisées.
- Moonpig (@MoonpigUK) 6 janvier 2015
Cette tentative de limitation des dégâts a été immédiatement appelée:
. @ MoonpigUK Vraiment? C'est votre stratégie pour faire face à votre négligence? Mensonge à ce sujet?
- Chris Ward (@christopherward) 6 janvier 2015
. @ MoonpigUK Mis à part les noms, les dates d'expiration et les 4 derniers chiffres qui ont été accessibles simplement via votre API depuis plus de 17 mois ... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6 janvier 2015
Mis à part le désastre des relations publiques, l'incapacité de Moonpig à traiter le problème en temps opportun souligne l'importance des tests de pénétration réguliers sur les sites Internet, ainsi que de répondre rapidement aux avis de sécurité.
Comment les clients peuvent bénéficier de vulnérabilités de sécurité
Il n'est pas clair si des données ont été volées à Moonpig via cette vulnérabilité, et en fonction de leurs efforts de limitation des dégâts, ils ne partageraient probablement pas les informations même s'ils les avaient.
Les problèmes sans fin avec la sécurité des achats en ligne au cours des 24 derniers mois ont commencé à saper la confiance dans l'industrie. Alors qu'eBay donne peu à ce stade, par exemple (et n'a jamais confirmé comment leurs données ont été piratées), sa tendance remarquable vers les listes gratuites et d'autres bonus au milieu de 2014 suggère que beaucoup d'utilisateurs sont restés à l'écart.
À moins de lancer des actions civiles contre ces entreprises, les seules mesures que les clients peuvent prendre contre l'abus flagrant et l'insécurité de leurs données (et si vous êtes un client Moonpig.com, il vaut mieux vérifier les promesses de sécurité des données conditions) est de voter avec leurs portefeuilles.
Avec l'explosion des services de messagerie et des livraisons de drones, de vastes entrepôts à travers le pays et de vastes livraisons, Amazon prouve comment satisfaire les commandes des clients et protéger leurs données (jusqu'à présent). D'autres entreprises devraient utiliser Amazon comme exemple, plutôt qu'un modèle grossier pour tenter d'imiter. Ne pas le faire ne peut que conduire à la fin des achats en ligne - ou la domination totale d'Amazon.
Ce n'est qu'en prenant des mesures pour faire des achats ailleurs que nous pouvons bénéficier de magasins en ligne prenant leurs responsabilités au sérieux.
Ne quittez pas les achats en ligne encore: juste magasiner plus intelligemment
Au cours des deux dernières années, nous avons vu beaucoup trop de grands noms piratés. Mais ces intrusions, et les fuites de données subséquentes, ne signifient pas que vous devez rester client. En fait, vous devriez faire le contraire et vous diriger vers les concurrents les plus sûrs, ou magasiner localement, à la place. Si vous êtes surpris et magasinez sur un site qui a été piraté, vous pourriez également envisager ces options de rechange Store You Shop At Get Hacked? Voici ce que vous devez faire pour magasiner Voici ce qu'il faut en lire plus.
Bien sûr, vous pourriez avoir une meilleure solution. Donc, utilisez les commentaires pour le partager, et toutes les histoires connexes que vous pourriez avoir.
Crédit image: Shopping en ligne via Shutterstock