Forside Sikkerhed Sikkerhedsfejl fremhæver vigtigheden af ​​at stemme med din tegnebog

Sikkerhedsfejl fremhæver vigtigheden af ​​at stemme med din tegnebog

  • Peter Holmes
  • 0
  • 4676
  • 853
Reklame

Online lykønskningskortbutik Moonpig udsatte kundedata for hackere i mindst 15 måneder, på trods af advarsler fra en ekspert om, at der var et hul, der skulle tilsluttes.

Der er flere lektioner her. Den første: virksomheders arrogance er farlig. For det andet: det er vigtigt for kunderne at uddanne sig selv og sørge for, at virksomheder arbejder for at holde dem sikre. Og den tredje: a “kendt navn” er ikke nødvendigvis en sikker.

Moonpig er en online lykønskningskortbutik, der sælger specialdesignede kort og krus gennem deres hjemmeside. Meget populært (takket være regelmæssig tv-reklame), sendte Moonpig 6 millioner kort ind i Storbritannien i 2007. Mens et britisk websted (med base i London og Channel Island of Guernsey), er dette en situation, der påvirker shoppere og online-butiksejere omkring verdenen.

Moonpig Hack: Hvad der skete?

Tilbage i 2013 opdagede udvikler Paul Price, at mobil-API-anmodninger på Moonpig.com-webstedet kunne blive hacket, hvorved kriminelle hackere kunne placere ordrer på enhver konto. Derudover kunne data som kundenavne, fødselsdato, adresse, kreditkortudløb og de sidste fire cifre på kortet ses.

Websteder, der tilbyder online shopping, giver normalt takstbegrænsere, der reducerer virkningen af ​​automatiske scripts, men Moonpig udeladte at gøre dette, hvilket gør det til et let, åbent mål for hackere.

Oprindeligt underrettet af Price om sårbarheden i midten af ​​2013, hævdede Moonpig, at de ville rette det med det samme; 18 måneder senere forblev sårbarheden.

Prisen sagde, da han offentliggjorde detaljer om sårbarheden online:

“Jeg har set nogle halv-arsede sikkerhedsforanstaltninger i min tid, men dette tager bare kiks. Hvem som arkitekten dette system skal vandplades. Hver API-anmodning er sådan: der er overhovedet ingen godkendelse, og du kan indtaste ethvert kunde-ID for at efterligne dem. En angriber kunne nemt placere ordrer på andre kundekonti, tilføje eller hente kortoplysninger, se gemte adresser, se ordrer og meget mere.”

Grundlæggende blev grundlæggende godkendelse brugt, og kontodata blev afsløret uden godkendelseskontrol.

Price besluttede at offentliggøre hacket, efter at Moonpig reagerede på hans opfølgningskontakt i september 2014 for at få fixet på plads inden jul. Da han afslørede alt den 5. januarth, det var endnu ikke tilsluttet.

Moonpigs reaktion på hacket

Lektionen i denne historie handler ikke så meget om hacket - de sker mere og mere i online shoppingbranchen - men om virksomhedens holdning, og hvad det betyder for forbrugerne.

Hvis vi overvejer mængden af ​​hacks i løbet af de sidste par år, såsom stadig uforklarlig eBay-lækage eBay-dataovertrædelsen: Hvad du har brug for at vide eBay-dataovertrædelsen: Hvad du skal vide og mål at miste 40 millioner kreditkort Målbekræftelse Op til 40 millioner amerikanske kunder Kreditkort Potentielt hacket mål Bekræfter Op til 40 millioner amerikanske kunder Kreditkort Potentielt hacket Target har netop bekræftet, at et hack kunne have kompromitteret kreditkortoplysningerne for op til 40 millioner kunder, der har handlet i sine amerikanske butikker mellem 27. november og 15. december 2013. så kan vi se, at der i bedste fald synes at være en uvidenhed, i værste fald fuldstændig selvtilfredshed, over for online-sikkerhed.

Tag for eksempel Moonpig-svaret på nyheden:

Vi er opmærksomme på krav vedrørende kundedata og kan bekræfte, at al adgangskode og betalingsinformation er og altid har været sikker.

- Tombpig ?? (@MoonpigUK) 6. januar 2015

Dette forsøg på begrænsning af skader blev straks kaldet:

.@MoonpigUK Bortset fra navne, udløbsdatoer og de sidste 4 cifre, som har været tilgængelige ganske enkelt via dit API i over 17 måneder ... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6. januar 2015

PR-katastrofe til side, Moonpigs manglende evne til at behandle problemet rettidigt fremhæver vigtigheden af ​​regelmæssige køringspenetrationstest på websteder, der vender mod internet, samt at svare hurtigt på sikkerhedsrådgivere.

Hvordan kunder kan drage fordel af sikkerhedsproblemer

Det er ikke klart, om der blev stjålet nogen data fra Moonpig via denne sårbarhed, og baseret på deres skadesbegrænsningsindsats indtil videre ville de sandsynligvis ikke dele informationen, selvom de havde det.

De uendelige problemer med online shopping-sikkerhed i løbet af de sidste 24 måneder er begyndt at undergrave tilliden til branchen. Mens eBay forlader lidt væk på dette tidspunkt, for eksempel (og aldrig bekræftet, hvordan deres data blev hacket), er det bemærkelsesværdigt drev mod gratis lister og andre bonusser i midten af ​​2014, som antyder, at mange brugere blev væk.

Kort efter at iværksætte civile retssager mod disse virksomheder er de eneste virkelige skridt, som kunderne kan tage mod den åbenlyse misbrug og usikkerhed af deres data (og hvis du er en Moonpig.com-kunde, er det værd at tjekke for løfter om datasikkerhed i dine oprindelige vilkår og betingelser) er at stemme med deres tegnebøger.

Med eksplosionen i budtjenester og droneleverancer, store lagre rundt omkring i landet og store leverancer, viser Amazon, hvordan man kan udføre kundeordrer og holde deres data sikre (indtil videre). Andre virksomheder burde bruge Amazon som et eksempel i stedet for en grov skabelon til at forsøge at efterligne. Undladelse af at gøre dette kan kun resultere i slutningen af ​​online shopping - eller den samlede dominans af Amazon.

Kun ved at tage skridt til at shoppe andre steder kan vi drage fordel af, at onlinebutikker tager deres ansvar alvorligt.

Stop ikke med online shopping endnu: Bare shop smartere

I løbet af de sidste par år har vi set alt for mange store navne hacket. Men disse indtrængen og efterfølgende datalækager betyder ikke, at du skal forblive kunde. Faktisk skal du gøre det modsatte og gå mod de mere sikre konkurrenter, eller shoppe lokalt i stedet. Hvis du bliver fanget og handler på et websted, der er hacket, kan du også overveje disse alternative indstillinger. Her er, hvad du skal opbevare, hvor du handler ved at blive hacket? Her er hvad du skal gøre .

Selvfølgelig har du måske en bedre løsning. Så brug kommentarerne til at dele det og alle relaterede historier, du måtte have.

Billedkredit: Shopping online via Shutterstock




Endnu ingen kommentarer

Alt hvad du behøver at vide om iPhone 7 og iPhone 7 Plus
iPhone og iPad
Intet stereo stik, intet problem hvorfor iPhone 7 lyder godt
iPhone og iPad
60 Awesome iPhone- og iPad-apps til studerende, der går tilbage til skolen
iPhone og iPad
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.