Το online κατάστημα καρτών χαιρετισμού Moonpig εκθέτει τα δεδομένα πελατών στους χάκερ για τουλάχιστον 15 μήνες, παρά τις προειδοποιήσεις από έναν ειδικό ότι υπήρχε μια τρύπα που έπρεπε να συνδεθεί.
Υπάρχουν πολλά μαθήματα εδώ. Η πρώτη: η εταιρική αλαζονεία είναι επικίνδυνη. Δεύτερον: είναι σημαντικό οι πελάτες να εκπαιδεύονται και να βεβαιωθούν ότι οι εταιρείες εργάζονται για να τους κρατήσουν ασφαλείς. Και το τρίτο: ένα "γνωστό όνομα" δεν είναι αναγκαστικά ασφαλές.
Το Moonpig είναι ένα ηλεκτρονικό κατάστημα καρτών χαιρετισμού που πωλεί κάρτες και κούπες προσαρμοσμένες στις ανάγκες τους μέσω της ιστοσελίδας τους. Πολύ δημοφιλής (χάρη στην τακτική τηλεοπτική διαφήμιση), η Moonpig έστειλε 6 εκατομμύρια κάρτες στο Ηνωμένο Βασίλειο το 2007. Ενώ είναι ένας βρετανικός ιστότοπος (που εδρεύει στο Λονδίνο και το κανάλι της Νήσου του Γκέρνσεϊ), αυτή είναι μια κατάσταση που επηρεάζει τους αγοραστές και τους ιδιοκτήτες ηλεκτρονικών καταστημάτων ο κόσμος.
Η αποτυχία του Moonpig: Τι συνέβη;
Πίσω το 2013, ο προγραμματιστής Paul Price ανακάλυψε ότι τα αιτήματα API για κινητά στον ιστότοπο Moonpig.com θα μπορούσαν να παραβιαστούν, επιτρέποντας έτσι στους εγκληματίες χάκερ να πραγματοποιούν παραγγελίες σε οποιοδήποτε λογαριασμό. Επιπλέον, μπορούν να προβληθούν δεδομένα όπως ονόματα πελατών, ημερομηνία γέννησης, διεύθυνση, λήξη πιστωτικής κάρτας και τα τελευταία τέσσερα ψηφία της κάρτας.
Οι ιστότοποι που προσφέρουν ηλεκτρονικές αγορές συνήθως παρέχουν περιορισμούς ρυθμού που μειώνουν τον αντίκτυπο των αυτόματων σεναρίων, αλλά η Moonpig παρέλειψε να το κάνει αυτό, καθιστώντας το εύκολο και ανοιχτό στόχο για τους χάκερ.
Αρχικά ενημερώθηκε από την τιμή για το θέμα της ευπάθειας στα μέσα του 2013, η Moonpig ισχυρίστηκε ότι θα το διορθώσει αμέσως. 18 μήνες αργότερα, η ευπάθεια παρέμεινε.
Η εν λόγω τιμή, όταν δημοσίευσε λεπτομέρειες σχετικά με την ευπάθεια στο διαδίκτυο:
"Έχω δει μερικά μισόρριζα μέτρα ασφαλείας στην εποχή μου, αλλά αυτό παίρνει ακριβώς το μπισκότο. Όποιος σχεδιάζει το σύστημα αυτό πρέπει να είναι με νερό. Κάθε αίτημα API είναι το εξής: δεν υπάρχει κανένας έλεγχος ταυτότητας και μπορείτε να μεταβιβάσετε οποιοδήποτε αναγνωριστικό πελάτη για να τα παραδώσετε. Ένας εισβολέας θα μπορούσε εύκολα να τοποθετήσει παραγγελίες σε άλλους λογαριασμούς πελατών, να προσθέσει ή να ανακτήσει πληροφορίες κάρτας, να δει αποθηκευμένες διευθύνσεις, να δει παραγγελίες και πολλά άλλα. "
Ουσιαστικά χρησιμοποιήθηκε βασικός έλεγχος ταυτότητας και αποκαλύφθηκαν δεδομένα λογαριασμού χωρίς ελέγχους επαλήθευσης.
Η τιμή αποφάσισε να φθάσει στο κοινό με το hack αφού ο Moonpig απάντησε στην επακόλουθη επαφή του το Σεπτέμβριο του 2014 για να έχει το fix στη θέση του μέχρι τα Χριστούγεννα. Όταν αποκάλυψε όλα στις 5 Ιανουαρίου, δεν είχε ακόμη συνδεθεί.
Η αντίδραση του Moonpig στο χαρά
Το μάθημα αυτής της ιστορίας δεν αφορά τόσο το χάκερ - όσο περισσότερο συμβαίνει στην ηλεκτρονική αγορά ψώνια - αλλά και τη στάση της εταιρείας και τι σημαίνει αυτό για τους καταναλωτές.
Αν ληφθεί υπόψη ο όγκος των hacks τα τελευταία δύο χρόνια, όπως η ακόμα ανεξήγητη eBay διαρροή Η παραβίαση δεδομένων eBay: Τι πρέπει να ξέρετε Η παραβίαση δεδομένων του eBay: Τι πρέπει να ξέρετε Διαβάστε περισσότερα και Στόχευση χάνουν 40 εκατομμύρια πιστωτικές κάρτες Ο στόχος επιβεβαιώνει μέχρι 40 εκατομμύρια αμερικανικές πελάτες Πιστωτικές Κάρτες Ενδεχόμενα Hacked Target Επιβεβαιώνει μέχρι 40 εκατομμύρια Αμερικανικές Πελάτες Πιστωτικές Κάρτες Ο δυνητικώς Hacked Target επιβεβαίωσε ότι ένα hack θα μπορούσε να διακυβεύσει τις πληροφορίες της πιστωτικής κάρτας για έως και 40 εκατομμύρια πελάτες που έχουν ψωνίσει στις ΗΠΑ καταστήματα μεταξύ 27 Νοεμβρίου και 15 Δεκεμβρίου 2013. Διαβάστε περισσότερα τότε μπορούμε να δούμε ότι φαίνεται να υπάρχει στην καλύτερη περίπτωση άγνοια, στη χειρότερη απόλυτη εφησυχασμό, προς την ασφάλεια στο διαδίκτυο.
Πάρτε, για παράδειγμα, την απάντηση Moonpig στις ειδήσεις:
Έχουμε επίγνωση των απαιτήσεων σχετικά με τα δεδομένα πελατών και μπορούμε να επιβεβαιώσουμε ότι όλες οι πληροφορίες σχετικά με τον κωδικό πρόσβασης και τις πληρωμές είναι πάντα ασφαλείς.
- Moonpig (@MoonpigUK) 6 Ιανουαρίου 2015
Αυτή η απόπειρα περιορισμού ζημιών κλήθηκε αμέσως:
. @ MoonpigUK Πραγματικά; Αυτή είναι η στρατηγική σας για να αντιμετωπίζετε την έκκληση για αμέλεια σας; Ξαπλώνει γι 'αυτό;
- Chris Ward (@christopherward) 6 Ιανουαρίου 2015
. @ MoonpigUK Εκτός από τα ονόματα, τις ημερομηνίες λήξης και τα τελευταία 4 ψηφία που έχουν πρόσβαση απλά μέσω του API σας για πάνω από 17 μήνες ... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6 Ιανουαρίου 2015
Η καταστροφή των δημόσιων σχέσεων, η αδυναμία του Moonpig να αντιμετωπίσει εγκαίρως το θέμα υπογραμμίζει τη σημασία των τακτικών δοκιμών διείσδυσης στις ιστοσελίδες που αντιμετωπίζουν το Διαδίκτυο καθώς και η ταχεία ανταπόκριση στις συμβουλές ασφαλείας.
Πώς οι πελάτες μπορούν να επωφεληθούν από τα ευπάθειες ασφαλείας
Δεν είναι σαφές εάν κτυπήθηκαν δεδομένα από το Moonpig μέσω αυτής της ευπάθειας και με βάση τις προσπάθειες περιορισμού των ζημιών μέχρι στιγμής, πιθανότατα δεν θα μοιράζονταν τις πληροφορίες ακόμα κι αν το είχαν.
Τα ατελείωτα προβλήματα με την ασφάλεια ηλεκτρονικών αγορών τους τελευταίους 24 μήνες έχουν αρχίσει να υπονομεύουν την εμπιστοσύνη στον κλάδο. Παρόλο που το eBay δίνει λίγα πράγματα σε αυτό το στάδιο, για παράδειγμα (και ποτέ δεν επιβεβαίωσε πως τα δεδομένα τους έχουν πειραχτεί) είναι αξιοσημείωτη η προσπάθεια για δωρεάν εγγραφές και άλλα μπόνους κατά τα μέσα του 2014, γεγονός που υποδηλώνει ότι πολλοί χρήστες παρέμειναν μακριά.
Χωρίς να ξεκινήσουν πολιτικές ενέργειες εναντίον αυτών των εταιρειών, τα πραγματικά πραγματικά βήματα που μπορούν να λάβουν οι πελάτες κατά της καταφανής κατάχρησης και ανασφάλειας των δεδομένων τους (και εάν είστε πελάτης Moonpig.com αξίζει να ελέγξετε για τυχόν υποσχέσεις ασφάλειας των δεδομένων με τους αρχικούς όρους και συνθήκες) είναι να ψηφίσουν με τα πορτοφόλια τους.
Με την έκρηξη στις υπηρεσίες ταχυμεταφορών και τις παραδόσεις με συρτάρια, τις τεράστιες αποθήκες σε όλη τη χώρα και τις τεράστιες παραδόσεις, η Amazon αποδεικνύει πώς θα εκπληρώσει τις παραγγελίες των πελατών και θα διατηρήσει τα δεδομένα τους ασφαλή (μέχρι στιγμής). Άλλες εταιρείες θα πρέπει να χρησιμοποιούν το Amazon ως παράδειγμα και όχι ένα ακατέργαστο πρότυπο για να προσπαθήσουν να μιμηθούν. Εάν δεν το κάνετε αυτό, μπορεί να προκύψει μόνο το τέλος των online αγορών - ή η συνολική κυριαρχία του Amazon.
Μόνο με τη λήψη μέτρων για να ψωνίσουμε αλλού μπορούμε να επωφεληθούμε από τα ηλεκτρονικά καταστήματα που λαμβάνουν σοβαρά τις ευθύνες τους.
Μην σταματήσετε τις ηλεκτρονικές αγορές ακόμα: Απλά ψωνίστε πιο έξυπνα
Κατά τα τελευταία δύο χρόνια έχουμε δει πάρα πολλά μεγάλα ονόματα να έχουν χάσει. Αλλά αυτές οι εισβολές και οι επακόλουθες διαρροές δεδομένων δεν σημαίνει ότι πρέπει να παραμείνετε πελάτης. Στην πραγματικότητα, πρέπει να κάνετε το αντίθετο και το κεφάλι για τους ασφαλέστερους ανταγωνιστές, ή το κατάστημα τοπικά, αντ 'αυτού. Αν έχετε τραβηχτεί έξω και ψωνίσετε σε έναν ιστότοπο που είναι hacked, ίσως να εξετάσετε επίσης αυτές τις εναλλακτικές επιλογές Store You Shop At Get Hacked; Εδώ είναι τι να κάνετε Store σας Shop κατά Get Hacked; Εδώ είναι τι να κάνετε Διαβάστε περισσότερα.
Φυσικά, μπορεί να έχετε μια καλύτερη λύση. Χρησιμοποιήστε λοιπόν τα σχόλια για να τα μοιραστείτε και οποιεσδήποτε σχετικές ιστορίες μπορεί να έχετε.
Image Credit: Αγορές online μέσω του Shutterstock