Säkerhetsfel framhäver vikten av att rösta med din plånbok

Annons

Online-gratulationskortaffär Moonpig exponerade kunddata för hackare i minst 15 månader, trots varningar från en expert om att det fanns ett hål som måste anslutas.

Det finns flera lektioner här. Den första: företagens arrogans är farlig. För det andra: det är viktigt för kunderna att utbilda sig och se till att företag arbetar för att hålla dem säkra. Och den tredje: ett "känt namn" är inte nödvändigtvis ett säkert namn.

Moonpig är en online gratulationskortbutik som säljer specialdesignade kort och muggar via deras webbplats. Mycket populärt (tack vare vanlig TV-reklam) skickade Moonpig 6 miljoner kort i Storbritannien 2007. Medan en brittisk webbplats (baserad i London och Channel Island of Guernsey), är detta en situation som drabbar kunder och onlinebutiker över hela världen.

Moonpig Hack: Vad hände?

Redan 2013 upptäckte utvecklaren Paul Price att mobil-API-förfrågningar på Moonpig.com-webbplatsen kunde hackas och därmed möjliggöra för kriminella hackare att placera order på vilket konto som helst. Dessutom kan data som kundnamn, födelsedatum, adress, kreditkortsförfall och de sista fyra siffrorna på kortet visas.

Webbplatser som erbjuder online-shopping erbjuder vanligtvis takbegränsare som minskar effekten av automatiserade skript, men Moonpig utelämnade att göra detta, vilket gör det till ett enkelt, öppet mål för hackare.

Ursprungligen informerade av Price om sårbarheten i mitten av 2013, hävdade Moonpig att de skulle fixa det direkt; 18 månader senare var sårbarheten kvar.

Sade Price när han publicerade detaljer om sårbarheten uppkopplad:

"Jag har sett några halvbågsskyddade säkerhetsåtgärder under min tid, men det tar bara kexen. Den som arkitekterar detta system måste vattnas ombord. Varje API-begäran är så här: det finns ingen verifiering alls och du kan lämna in vilket kund-ID som helst för att efterge sig dem. En angripare kan enkelt placera order på andra kundkonton, lägga till eller hämta kortinformation, visa sparade adresser, visa order och mycket mer. ”

I grund och botten användes grundläggande autentisering och kontodata avslöjades utan verifieringskontroller.

Price beslutade att offentliggöra hacket efter att Moonpig svarade på sin uppföljningskontakt i september 2014 för att ha fixet på plats före jul. När han avslöjade allt den 5 januari^th, det hade ännu inte anslutits.

Moonpigs reaktion på hackan

Lektionen i den här historien handlar inte så mycket om hacket - de händer mer och mer i online shoppingbranschen - utan om företagets attityd och vad det betyder för konsumenterna.

Om vi ​​tar hänsyn till volymen hackor under de senaste åren, t.ex. fortfarande oförklarlig eBay-läcka EBay-dataöverträdelsen: Vad du behöver veta Läs mer och Mål att förlora 40 miljoner kreditkort Mål bekräftar upp till 40 miljoner amerikanska kunder kreditkort potentiellt hackadeTarget har just bekräftat att ett hack kunde ha komprometterat kreditkortsinformationen för upp till 40 miljoner kunder som har handlat i sina amerikanska butiker mellan 27 november och 15 december 2013. Läs mer då kan vi se att det i bästa fall verkar finnas en okunnighet, i värsta fall fullständig självständighet, mot online-säkerhet.

Ta till exempel Moonpig-svaret på nyheterna:

Vi är medvetna om fordringar angående kunddata och kan bekräfta att all lösenords- och betalningsinformation är och alltid har varit säker.

- Tombpig?? (@MoonpigUK) 6 januari 2015

Detta försök till begränsning av skador ropades omedelbart ut:

.@MoonpigUK Förutom namn, utgångsdatum och sista fyra siffror som har varit tillgängliga helt enkelt via ditt API i över 17 månader... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 januari 2015

PR-katastrof åt sidan, Moonpigs oförmåga att ta itu med frågan på rätt tid belyser vikten av regelbundna körpenetrationstest på webbplatser som vetter mot Internet, samt att svara på säkerhet rådgivning omgående.

Hur kunder kan dra nytta av säkerhetsproblem

Det är inte klart om data stulits från Moonpig via denna sårbarhet, och baserat på deras skadebegränsningsinsatser hittills skulle de förmodligen inte dela informationen, även om de hade den.

De oändliga problemen med online shopping-säkerhet under de senaste 24 månaderna har börjat undergräva förtroendet för branschen. Medan eBay ger lite bort i detta skede, till exempel (och aldrig bekräftat hur deras data hackades) är det en anmärkningsvärd körning mot gratis listor och andra bonusar under mitten av 2014 antyder att många användare stannade kvar bort.

Kort om att inleda civila åtgärder mot dessa företag, är de enda verkliga åtgärder som kunder kan vidta mot flagrande missbruk och osäkerhet av deras data (och om du är en Moonpig.com-kund är det värt att kontrollera om det finns löften om datasäkerhet i dina ursprungliga villkor) är att rösta med sin plånböcker.

Med explosionen i budtjänster och droneleveranser, stora lager runt om i landet och stora leveranser, bevisar Amazon hur man kan uppfylla kundorder och hålla sina data säkra (hittills). Andra företag bör använda Amazon som ett exempel, snarare än en grov mall för att försöka efterlikna. Underlåtenhet att göra detta kan endast resultera i slutet av online shopping - eller Amazonas totala dominans.

Endast genom att vidta åtgärder för att handla någon annanstans kan vi dra nytta av att onlinebutiker tar sitt ansvar på allvar.

Sluta inte online-shopping ännu: Bara handla smartare

Under de senaste åren har vi sett alltför många stora namn hackade. Men dessa intrång och efterföljande dataläckage betyder inte att du måste vara kund. I själva verket bör du göra det motsatta och gå mot de säkrare konkurrenterna, eller handla lokalt istället. Om du har fångats och handlat på en webbplats som är hackad, kan du också göra det överväga dessa alternativa alternativ Butiker du handlar på Bli hackad? Här är vad du ska göra Läs mer .

Naturligtvis kanske du har en bättre lösning. Så använd kommentarerna för att dela den och alla relaterade berättelser du kan ha.

Bildkredit: Shopping online via Shutterstock