Errori di sicurezza Evidenzia l'importanza della votazione con il tuo portafoglio

Errori di sicurezza Evidenzia l'importanza della votazione con il tuo portafoglio / Sicurezza

Negozio online di biglietti di auguri Moonpig ha esposto i dati dei clienti agli hacker per almeno 15 mesi, nonostante gli avvertimenti di un esperto che ci fosse un buco che doveva essere tappato.

Ci sono più lezioni qui. Il primo: l'arroganza corporativa è pericolosa. Secondo: è importante che i clienti si istruiscano e si assicurino che le aziende lavorino per mantenerle al sicuro. E il terzo: a “nome conosciuto” non è necessariamente sicuro.

Moonpig è un negozio online di biglietti di auguri che vende carte e tazze personalizzate sul loro sito web. Molto popolare (grazie alla normale pubblicità televisiva), Moonpig ha spedito 6 milioni di carte nel Regno Unito nel 2007. Mentre un sito britannico (con sede a Londra e Channel Island di Guernsey), questa è una situazione che colpisce gli acquirenti e i proprietari di negozi online in giro il mondo.

The Moonpig Hack: What Happened?

Nel 2013, lo sviluppatore Paul Price ha scoperto che le richieste API mobili sul sito Web Moonpig.com potevano essere compromesse, consentendo in tal modo agli hacker criminali di effettuare ordini su qualsiasi account. Inoltre, dati come i nomi dei clienti, data di nascita, indirizzo, scadenza della carta di credito e le ultime quattro cifre della carta potrebbero essere visualizzati.

I siti web che offrono shopping online di solito offrono limitatori di frequenza che riducono l'impatto degli script automatici, ma Moonpig ha omesso di farlo, rendendolo un obiettivo facile e aperto per gli hacker.

Inizialmente informato da Price della vulnerabilità a metà del 2013, Moonpig ha affermato che l'avrebbero risolto subito; 18 mesi dopo, la vulnerabilità è rimasta.

Detto prezzo quando ha pubblicato i dettagli della vulnerabilità online:

“Ho visto alcune misure di sicurezza mezze misure nel mio tempo, ma questo prende solo il biscotto. Chiunque architetti questo sistema deve essere sottoposto a waterboarding. Ogni richiesta API è come questa: non esiste alcuna autenticazione e puoi passare in qualsiasi ID cliente per impersonarli. Un utente malintenzionato potrebbe facilmente effettuare ordini su altri account clienti, aggiungere o recuperare informazioni sulla carta, visualizzare gli indirizzi salvati, visualizzare gli ordini e molto altro.”

In sostanza, veniva utilizzata l'autenticazione di base e i dati dell'account venivano rivelati senza verifiche di autenticazione.

Price ha deciso di rendere pubblico l'hack dopo che Moonpig ha risposto al suo contatto di follow-up nel settembre 2014 per avere la soluzione entro Natale. Quando ha rivelato tutto il 5 gennaioesimo, doveva ancora essere collegato.

La reazione di Moonpig all'hack

La lezione di questa storia non riguarda tanto l'hack: stanno accadendo sempre di più nel settore dello shopping online, ma l'atteggiamento dell'azienda e cosa significa per i consumatori.

Se consideriamo il volume di hack negli ultimi due anni, come la fuga di eBay ancora inspiegabile La violazione dei dati su eBay: Che cosa è necessario sapere La violazione dei dati su eBay: Che cosa è necessario sapere Ulteriori informazioni e Target perdere 40 milioni di carte di credito Obiettivo conferma fino a 40 milioni di clienti USA Le carte di credito potenzialmente target compromessi confermano fino a 40 milioni di clienti USA Carte di credito potenzialmente hackerate Target ha appena confermato che un hack potrebbe aver compromesso le informazioni della carta di credito per un massimo di 40 milioni di clienti che hanno effettuato acquisti negli Stati Uniti negozi tra il 27 novembre e il 15 dicembre 2013. Leggi di più quindi possiamo vedere che sembra esserci nel migliore dei casi un'ignoranza, nel peggiore dei casi di totale autocompiacimento, verso la sicurezza online.

Prendi, ad esempio, la risposta di Moonpig alle notizie:

Siamo a conoscenza delle richieste relative ai dati dei clienti e possiamo confermare che tutte le informazioni su password e pagamento sono e sono sempre state al sicuro.

- Tombpig ?? (@MoonpigUK) 6 gennaio 2015

Questo tentativo di limitare i danni è stato immediatamente chiamato:

.@MoonpigUK Oltre ai nomi, le date di scadenza e le ultime 4 cifre che sono state accessibili semplicemente tramite la tua API per oltre 17 mesi ... @Charlotteis

- James Seymour-Lock (@JamesSLock), 6 gennaio 2015

Disastro di pubbliche relazioni a parte, l'incapacità di Moonpig di affrontare il problema in modo tempestivo sottolinea l'importanza di regolari test di penetrazione in esecuzione sui siti Web di Internet, oltre a rispondere prontamente alle segnalazioni di sicurezza.

In che modo i clienti possono trarre vantaggio dalle vulnerabilità della sicurezza

Non è chiaro se alcuni dati siano stati rubati da Moonpig attraverso questa vulnerabilità, e in base ai loro sforzi di limitazione del danno finora non avrebbero probabilmente condiviso le informazioni anche se ce l'avessero.

Gli infiniti problemi con la sicurezza dello shopping online negli ultimi 24 mesi hanno iniziato a minare la fiducia nel settore. Mentre eBay sta dando poco in questa fase, ad esempio (e non ha mai confermato in che modo i loro dati sono stati violati), la notevole spinta verso le inserzioni gratuite e altri bonus durante la metà del 2014 suggerisce che molti utenti sono rimasti lontani.

A meno di avviare azioni civili contro queste aziende, gli unici veri passi che i clienti possono intraprendere contro l'abuso flagrante e l'insicurezza dei loro dati (e se sei un cliente di Moonpig.com vale la pena di verificare eventuali promesse di sicurezza dei dati nelle tue condizioni originali e condizioni) è quello di votare con i loro portafogli.

Con l'esplosione dei servizi di corriere e consegne di droni, vasti magazzini in tutto il paese e vaste consegne, Amazon sta dimostrando come soddisfare gli ordini dei clienti e mantenere i loro dati al sicuro (finora). Altre aziende dovrebbero usare Amazon come esempio, piuttosto che un modello approssimativo per tentare di imitare. La mancata esecuzione di questa operazione può comportare solo la fine dello shopping online o il dominio totale di Amazon.

Solo adottando misure per fare acquisti altrove possiamo beneficiare dei negozi online che prendono sul serio le loro responsabilità.

Non smettere mai di fare acquisti online: basta acquistare in modo più intelligente

Negli ultimi due anni abbiamo visto troppi grandi nomi hackerati. Ma queste intrusioni e le successive perdite di dati non significano che devi rimanere cliente. In effetti, dovresti fare l'opposto e dirigersi verso i concorrenti più sicuri, o acquistare a livello locale, invece. Se sei scoperto e fai acquisti su un sito che è stato violato, potresti anche considerare queste opzioni alternative Store You Shop At Get Hacked? Ecco cosa fare negozio negozio Acquista Hacked? Ecco cosa fare per saperne di più .

Certo, potresti avere una soluzione migliore. Quindi usa i commenti per condividerli e tutte le storie correlate che potresti avere.

Credito immagine: acquisti online tramite Shutterstock

Scopri di più su: Sicurezza online, Shopping online.