реклама
Онлайн магазинът за поздравителни карти Moonpig излага данните на клиентите на хакерите за най-малко 15 месеца, въпреки предупрежденията на експерт, че има дупка, която трябва да се запуши.
Тук има множество уроци. Първият: корпоративната арогантност е опасна. Второ: важно е клиентите да се обучават и да се уверят, че компаниите работят, за да ги запазят. И третото: „известно име“ не е непременно безопасно.
Moonpig е онлайн магазин за поздравителни картички, който продава персонализирани картички и халби чрез уебсайта си. Огромно популярен (благодарение на редовната телевизионна реклама), Moonpig достави 6 милиона карти в Обединеното кралство през 2007 г. Докато британски сайт (със седалище в Лондон и на остров Канал в Гърнси), това е ситуация, която засяга купувачите и собствениците на онлайн магазини по целия свят.
Луковитният хак: Какво се случи?
Още през 2013 г. разработчикът Пол Прайс откри, че заявките за мобилни приложения на уебсайта Moonpig.com могат да бъдат хакнати, като по този начин дава възможност на криминални хакери да правят поръчки във всеки акаунт. Освен това могат да се видят данни като имена на клиенти, дата на раждане, адрес, изтичане на кредитната карта и последните четири цифри на картата.
Уебсайтовете, които предлагат онлайн пазаруване, обикновено предоставят ограничители на скоростта, които намаляват въздействието на автоматизирани скриптове, но Moonpig пропусна да направи това, правейки го лесна, отворена цел за хакери.
Първоначално информиран от Price за уязвимостта в средата на 2013 г., Moonpig заяви, че те ще го отстранят веднага; 18 месеца по-късно уязвимостта остава.
Каза Прайс, когато той публикува подробности за уязвимостта онлайн:
„Видях някои наполовина мерки за сигурност, но това отнема бисквитата. Който е архитект на тази система, трябва да бъде поставен на водна борда. Всяка заявка за API е такава: изобщо няма удостоверяване и можете да въведете всеки идентификационен номер на клиент, за да се представяте за тях. Нападателят може лесно да поставя поръчки в акаунти на други клиенти, да добавя или извлича информация за картата, да преглежда запазени адреси, да преглежда поръчки и много други. “
По същество се използва основното удостоверяване и данните за акаунта се разкриват без проверки за удостоверяване.
Прайс реши да излезе публично с хака, след като Moonpig отговори на последващия си контакт през септември 2014 г., за да има поправка на място до Коледа. Когато той разкри всички на 5 януаритата, тепърва трябваше да е включен.
Реакцията на Moonpig към рана
Урокът на тази история не е толкова за хак - те се случват все повече и повече в индустрията за онлайн пазаруване - а за отношението на компанията и какво означава това за потребителите.
Ако вземем предвид обема на хакове през последните няколко години, като например все още необясним теч на eBay Нарушение на данните на eBay: Какво трябва да знаете Прочетете още и Насочете се към загуба на 40 милиона кредитни карти Целта потвърждава до 40 милиона кредитни карти на клиенти, потенциално хакнатиTarget току-що потвърди, че хак може да е компрометирал информацията за кредитната карта до 40 милиона клиенти, които са пазарували в неговите магазини в САЩ между 27 ноември и 15 декември на 2013. Прочетете още тогава можем да видим, че изглежда има в най-добрия случай невежество, в най-лошия пълна самодоволство към онлайн сигурността.
Вземете например отговора на Moonpig на новината:
Наясно сме с твърденията за клиентски данни и можем да потвърдим, че цялата информация за паролата и плащанията е и винаги е била в безопасност.
- Tombpig?? (@MoonpigUK) 6 януари 2015 г.
Този опит за ограничаване на щетите бе незабавно извикан:
.@MoonpigUK Освен имена, срокове на годност и последните 4 цифри, които са достъпни просто чрез вашия API за повече от 17 месеца... @Charlotteis
- Джеймс Сеймур-Лок (@JamesSLock) 6 януари 2015 г.
Отстраняване на бедствия в обществените отношения, неспособността на Moonpig да се справи с проблема своевременно, подчертава това важността на редовното провеждане на тестове за проникване в интернет страници, както и в отговор на сигурността консултации незабавно.
Как клиентите могат да се възползват от уязвимостите в сигурността
Не е ясно дали някакви данни са били откраднати от Moonpig чрез тази уязвимост и въз основа на усилията им за ограничаване на щети досега те вероятно не биха споделили информацията, дори и да са я имали.
Безкрайните проблеми със сигурността на пазаруването онлайн през последните 24 месеца започнаха да подкопават доверието в бранша. Въпреки че eBay дава малко на този етап, например (и никога не потвърждава как са били хакнати техните данни), това е така забележителният стремеж към безплатни обяви и други бонуси през средата на 2014 г. предполага, че много потребители остават далеч.
Освен да започне граждански дела срещу тези компании, единствените реални стъпки, които клиентите могат да предприемат срещу грубата злоупотреба и несигурността на техните данни (и ако сте клиент на Moonpig.com, си струва да проверите за обещания за сигурност на данните в първоначалните си условия) е да гласувате с техните портмонета.
С експлозията в куриерските услуги и доставките на дронове, огромните складове в цялата страна и огромните доставки, Amazon доказва как да изпълнява поръчките на клиентите и да запазва данните си безопасни (засега). Други компании трябва да използват Amazon като пример, а не груб шаблон, за да се опитват да имитират. Неспазването на това може да доведе само до края на онлайн пазаруването - или до пълното господство на Amazon.
Само като предприемаме стъпки за пазаруване на друго място, можем да се възползваме от онлайн магазините, които поемат сериозно техните отговорности.
Не се отказвайте от онлайн пазаруването все пак: Просто пазарувайте по-интелигентно
През последните няколко години видяхме твърде много хакнати големи имена. Но тези нахлувания и последващи течове на данни не означават, че трябва да останете клиент. Всъщност трябва да направите обратното и вместо това да се насочите към по-сигурните конкуренти или да пазарувате локално. Ако ви хванат и пазарувате в хакнат сайт, може и вие помислете за тези алтернативни варианти Пазарувате ли да пазарувате? Ето какво да правя Прочетете още .
Разбира се, може да имате по-добро решение. Затова използвайте коментарите, за да ги споделите, и всички свързани с тях истории.
Кредит за изображение: Пазаруване онлайн чрез Shutterstock
Кристиан Каули е заместник-редактор по сигурността, Linux, направи си сам, програмирането и обяснените технологии. Освен това той произвежда The Really Useful Podcast и има богат опит в поддръжката на десктоп и софтуер. Сътрудник на списание Linux Format, Кристиан е тенисър на Raspberry Pi, любител на Lego и фен на ретро игри.
