Beveiligingsfalen Markeer het belang van stemmen met uw Wallet

Beveiligingsfalen Markeer het belang van stemmen met uw Wallet / Veiligheid

Online-winkel voor groetenkaarten Moonpig stelde klantgegevens bloot aan hackers gedurende minstens 15 maanden, ondanks waarschuwingen van een expert dat er een gat was dat moest worden afgesloten.

Er zijn hier meerdere lessen. De eerste: zakelijke arrogantie is gevaarlijk. Ten tweede: het is belangrijk voor klanten om zichzelf te onderwijzen en ervoor te zorgen dat bedrijven eraan werken om ze veilig te houden. En de derde: a “bekende naam” is niet noodzakelijk een veilige.

Moonpig is een online winkel voor groetenkaarten die via hun website op maat gemaakte kaarten en mokken verkoopt. Enorm populair (dankzij reguliere tv-reclame), Moonpig heeft in 2007 6 miljoen kaarten in het Verenigd Koninkrijk verzonden. Hoewel het een Britse site is (gevestigd in Londen en het Kanaaleiland Guernsey), is dit een situatie die van invloed is op het winkelend publiek en de online winkeleigenaren in de buurt. de wereld.

The Moonpig Hack: What Happened?

In 2013 ontdekte ontwikkelaar Paul Price dat mobiele API-verzoeken op de Moonpig.com-website kunnen worden gehackt, waardoor criminele hackers orders voor elk account kunnen plaatsen. Bovendien kunnen gegevens zoals namen van klanten, geboortedatum, adres, verstrijken van de creditcard en de laatste vier cijfers van de kaart worden bekeken.

Websites die online winkelen aanbieden bieden doorgaans snelheidsbegrenzers die de impact van geautomatiseerde scripts verminderen, maar Moonpig heeft dit nagelaten, waardoor het een gemakkelijk, open doel voor hackers is.

Oorspronkelijk geïnformeerd door Price over de kwetsbaarheid midden 2013, beweerde Moonpig dat ze het probleem meteen zouden oplossen; 18 maanden later bleef de kwetsbaarheid bestaan.

Said Price toen hij details van de kwetsbaarheid online publiceerde:

“Ik heb in mijn tijd wel een paar halfverzorgde veiligheidsmaatregelen gezien, maar dit neemt alleen het koekje. Wie dit systeem ontwerpt, moet met water worden bestuurd. Elke API-aanvraag is als volgt: er is helemaal geen verificatie en u kunt elke klant-ID doorgeven om voor hen te imiteren. Een aanvaller kan gemakkelijk bestellingen plaatsen op andere klantenaccounts, kaartinformatie toevoegen of ophalen, opgeslagen adressen bekijken, bestellingen bekijken en nog veel meer.”

In wezen werd basisverificatie gebruikt en werden accountgegevens onthuld zonder authenticatiecontroles.

Price besloot om publiek te gaan met de hack nadat Moonpig reageerde op zijn follow-up contact in september 2014 om de oplossing op zijn plaats te krijgen met Kerstmis. Toen hij alles onthulde op 5 januarith, het moest nog worden aangesloten.

Moonpig's reactie op de hack

De les van dit verhaal gaat niet zozeer over de hack - ze vinden meer en meer plaats in de online-winkelindustrie - maar over de houding van het bedrijf en wat dit betekent voor de consument.

Als we kijken naar het aantal hacks van de afgelopen paar jaar, zoals nog steeds onverklaarde eBay-lekken. De eBay-gegevensschending: wat je moet weten De eBay-gegevensschending: wat je moet weten Meer lezen en 40 miljoen creditcards verliezen Target bevestigt maximaal 40 miljoen Amerikaanse klanten Creditcards Potentieel gehackt doel Bevestigt maximaal 40 miljoen Amerikaanse klanten Creditcards Potentieel gehackt Target heeft zojuist bevestigd dat een hack de creditcardinformatie voor 40 miljoen klanten die in de VS hebben gewinkeld, in gevaar had kunnen brengen winkels tussen 27 november en 15 december 2013. Lees Meer dan kunnen we zien dat er op zijn best een onwetendheid lijkt, in het slechtste geval vol zelfgenoegzaamheid, naar online beveiliging.

Neem bijvoorbeeld het antwoord van Moonpig op het nieuws:

We zijn ons bewust van claims over klantgegevens en kunnen bevestigen dat alle wachtwoord- en betalingsinformatie veilig is en altijd is geweest.

- Tombpig ?? (@MoonpigUK) 6 januari 2015

Deze poging tot beperking van de schade werd onmiddellijk opgeroepen:

.@MoonpigUK Behalve namen, vervaldatums & laatste 4 cijfers die eenvoudig toegankelijk zijn via uw API voor meer dan 17 maanden ... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 januari 2015

Public Relations ramp terzijde, Moonpig's onvermogen om tijdig met het probleem om te gaan, benadrukt het belang van regelmatige doorlopende penetratietests op internet-gerichte websites, evenals snel reageren op beveiligingsboodschappen.

Hoe klanten kunnen profiteren van beveiligingslekken

Het is niet duidelijk of er van Moonpig via deze kwetsbaarheid gegevens zijn gestolen en op basis van hun schadebeperkingsinspanningen tot nu toe zouden ze de informatie waarschijnlijk niet delen, zelfs niet als ze het hadden.

De eindeloze problemen met online veiligheid voor het winkelen in de afgelopen 24 maanden of zo zijn begonnen het vertrouwen in de industrie te ondermijnen. Terwijl eBay in dit stadium weinig weggeeft, bijvoorbeeld (en nooit heeft bevestigd hoe hun gegevens werden gehackt), suggereert het een opmerkelijke drang naar gratis aanbiedingen en andere bonussen halverwege 2014, suggereert dat veel gebruikers wegblijven.

In plaats van civiele acties tegen deze bedrijven te starten, zijn de enige echte stappen die klanten kunnen zetten tegen het flagrante misbruik en de onveilige gegevens (en als je een Moonpig.com-klant bent, is het de moeite waard om te controleren of je gegevens veilig zijn in je originele voorwaarden en voorwaarden) is om met hun portemonnee te stemmen.

Met de explosie aan koeriersdiensten en drone-leveringen, grote magazijnen in het hele land en grote leveringen, bewijst Amazon hoe ze orders van klanten kunnen uitvoeren en hun gegevens (tot nu toe) veilig kunnen houden. Andere bedrijven zouden Amazon als voorbeeld moeten gebruiken, in plaats van een ruwe sjabloon om te proberen na te bootsen. Als u dit niet doet, kan dit alleen maar leiden tot het einde van online winkelen - of de totale dominantie van Amazon.

Alleen door stappen te zetten om elders te winkelen, kunnen we profiteren van online winkels die hun verantwoordelijkheid serieus nemen.

Stop niet met online winkelen tot nu toe: gewoon slimmer winkelen

In de afgelopen paar jaar hebben we veel te veel grote namen gehackt. Maar deze inbraken, en daaropvolgende gegevenslekken, betekenen niet dat u klant moet blijven. In feite moet je het tegenovergestelde doen en in plaats daarvan naar de meer beveiligde concurrenten gaan of lokaal winkelen. Als je betrapt bent en winkelt op een site die gehackt is, kun je ook deze alternatieve opties overwegen. Store You Shop At Get Hacked? Hier is wat te doen Winkel die je kunt winkelen als je een hacker bent? Dit is wat u moet doen Meer lezen .

Natuurlijk heb je misschien een betere oplossing. Dus gebruik de opmerkingen om het te delen, en alle gerelateerde verhalen die je hebt.

Image Credit: online winkelen via Shutterstock

Meer informatie over: online beveiliging, online winkelen.