Securitate

Eșecurile de securitate evidențiază importanța votului cu ajutorul portofelului dvs.

Eșecurile de securitate evidențiază importanța votului cu ajutorul portofelului dvs. / Securitate

Salonul de cărți de salut online Moonpig a expus date despre clienți hackerilor timp de cel puțin 15 luni, în ciuda avertismentelor unui expert că există o gaură care trebuie să fie conectată.

Există mai multe lecții aici. Prima: aroganța corporativă este periculoasă. În al doilea rând, este important ca clienții să se educeze și să se asigure că companiile lucrează pentru a le menține în siguranță. Și a treia: a “nume cunoscut” nu este neapărat unul sigur.

Moonpig este un magazin online de felicitări care vinde cărți personalizate și cani prin intermediul site-ului. Foarte popular (datorită publicității TV obișnuite), Moonpig a livrat 6 milioane de carduri în Marea Britanie în 2007. În timp ce un site britanic (cu sediul în Londra și Insula Canalului din Guernsey), aceasta este o situație care afectează cumpărătorii și proprietarii de magazine online lumea.

The Hack de la Moonpig: Ce sa întâmplat?

Începând din 2013, dezvoltatorul Paul Price a descoperit că solicitările API-urilor mobile pe site-ul Moonpig.com pot fi hackate, permițând astfel hackerilor criminali să trimită comenzi pe orice cont. În plus, pot fi vizualizate datele cum ar fi numele clientului, data nașterii, adresa, expirarea cărții de credit și ultimele patru cifre ale cardului.

Site-urile care oferă cumpărături online oferă de obicei limite de viteză care reduc impactul scripturilor automate, dar Moonpig a omis să facă acest lucru, făcând-o o țintă ușoară, deschisă pentru hackeri.

Inițial informat de Prețul privind vulnerabilitatea la mijlocul anului 2013, Moonpig a susținut că o va remedia imediat; 18 luni mai târziu, vulnerabilitatea a rămas.

Said Price, când a publicat detalii despre vulnerabilitatea online:

“Am văzut niște măsuri de securitate pe jumătate arse în timpul meu, dar asta ia doar biscuiții. Oricine arhitect acest sistem trebuie să fie cu apă. Orice solicitare API este astfel: nu există nici o autentificare și puteți trece în orice cod de client pentru a le impersonaliza. Un atacator ar putea plasa cu ușurință comenzi pe alte conturi ale clienților, să adauge sau să recupereze informații despre card, să vadă adresele salvate, să vadă ordinele și multe altele.”

În esență, sa folosit autentificarea de bază și datele de cont au fost dezvăluite fără verificări de autentificare.

Prețul a decis să facă publicitate cu hack-ul după ce Moonpig a răspuns la contactul său ulterior în septembrie 2014 pentru a avea fixul în vigoare până la Crăciun. Când a dezvăluit toate pe 5 ianuarielea, nu era încă conectat.

Reacția lui Moonpig la hack

Lecția acestei povestiri nu se referă atât la hack-uri - se întâmplă din ce în ce mai mult în industria de cumpărături online - ci și în ceea ce privește atitudinea companiei și ce înseamnă aceasta pentru consumatori.

Dacă luăm în considerare volumul de hack-uri din ultimii ani, cum ar fi scurgerea eBay încă inexplicabilă. Încălcarea datelor eBay: Ce trebuie să știți Încălcarea datelor eBay: Ce trebuie să știți Citiți mai mult și vizați 40 de milioane de carduri de credit Target confirmă până la 40 de milioane de clienți americani Carduri de credit potențial hacked confirmă până la 40 de milioane de clienți din SUA Carduri de credit potențial Hacked Target tocmai a confirmat că un hack ar fi putut compromite informațiile cardului de credit pentru până la 40 de milioane de clienți care au cumpărat în SUA magazine între 27 noiembrie și 15 decembrie 2013. Citește mai mult decât putem vedea că pare să existe cel puțin o ignoranță, în cel mai rău absolut satisfacție, față de securitatea online.

Luați, de exemplu, răspunsul Moonpig la știri:

Suntem conștienți de datele despre clienți și putem confirma că toate informațiile despre parole și de plată sunt și au fost întotdeauna în siguranță.

- Tombpig? (@MoonpigUK) 6 ianuarie 2015

Această încercare de limitare a daunelor a fost imediat invocată:

.@MoonpigUK În afară de nume, date de expirare și ultimele 4 cifre care au fost accesibile pur și simplu prin API-ul dvs. de peste 17 luni ... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 ianuarie 2015

Dezavantajul relațiilor cu publicul, incapacitatea lui Moonpig de a rezolva problema în timp util subliniază importanța testelor de penetrare care rulează în mod regulat pe site-urile web care se confruntă cu Internet, precum și reacția rapidă la recomandările de securitate.

Cum pot beneficia clienții de vulnerabilitățile de securitate

Nu este clar dacă vreunul dintre datele a fost furat de la Moonpig prin această vulnerabilitate și, pe baza eforturilor lor de limitare a daunelor până acum, probabil că nu ar fi împărtășit informațiile chiar dacă le-ar fi avut.

Problemele nesfârșite legate de securitatea cumpărăturilor online în ultimele 24 de luni au început să submineze încrederea în industrie. În timp ce eBay nu oferă prea multe informații în acest stadiu, de exemplu (și nu a confirmat niciodată modul în care datele lor au fost hackate), este remarcabilă o direcție către listări gratuite și alte bonusuri în mijlocul anului 2014, sugerând că mulți utilizatori au rămas departe.

În lipsa lansării acțiunilor civile împotriva acestor companii, singurii pași reali pe care clienții îl pot lua împotriva folosirii flagrante și a nesiguranței datelor (și dacă sunteți un client Moonpig.com, merită să verificați orice promisiuni de securitate a datelor în termenii originali și condiții) este de a vota cu portofelele.

Odată cu explozia serviciilor de curierat și a livrărilor cu dronți, cu depozite mari din întreaga țară și cu livrări ample, Amazon demonstrează cum să îndeplinească ordinele clienților și să păstreze datele lor în siguranță (până acum). Alte companii ar trebui să folosească Amazon ca exemplu, mai degrabă decât un șablon dur pentru a încerca să imite. Nerespectarea acestui lucru nu poate avea ca rezultat decât sfârșitul cumpărăturilor online - sau dominația totală a Amazonului.

Doar prin luarea de măsuri pentru a face cumpărături în altă parte, putem beneficia de faptul că magazinele online își iau serios responsabilitățile.

Nu abandonați cumpărăturile online: Doar magazin mai inteligent

În ultimii ani, am văzut prea multe nume mari, hackate. Dar aceste intruziuni și scurgeri de date ulterioare nu înseamnă că trebuie să rămâi un client. De fapt, ar trebui să faceți contrariul și să vă îndreptați spre competitorii mai sigure sau să faceți cumpărături la nivel local. Dacă sunteți prins și cumpărați pe un site care este hacked, ați putea lua în considerare și aceste opțiuni alternative Store Your Shop la Get Hacked? Iată ce trebuie să faceți pentru a vă păstra magazinul la obținerea de hackeri? Iată ce să faceți Mai mult .

Desigur, ați putea avea o soluție mai bună. Deci, utilizați comentariile pentru a le partaja și orice povestiri pe care le puteți avea.

Credit de imagine: cumpărături online prin Shutterstock

Explorați mai multe despre: securizarea online, cumpărăturile online.