Failles de sécurité mettent en évidence l`importance du vote avec votre porte-monnaie
magasin de cartes de voeux en ligne Moonpig exposé les données des clients aux pirates pendant au moins 15 mois, en dépit des avertissements d`un expert qu`il y avait un trou qui devait être branché.
Contenu
Il y a plusieurs leçons ici. La première: l`arrogance des entreprises est dangereuse. Deuxièmement: il est important pour les clients de se renseigner, et assurer que les entreprises travaillent pour les garder en sécurité. Et le troisième: un « nom connu » est pas nécessairement un coffre-fort.
Moonpig est un magasin de cartes de voeux en ligne qui vend des cartes sur mesure et des tasses à travers leur site web. Immensément populaire (grâce à la publicité télévisée régulière), Moonpig livré 6 millions de cartes au Royaume-Uni en 2007. Alors qu`un site britannique (basée à Londres et l`île anglo-normande de Guernesey), ceci est une situation qui affecte les consommateurs et les propriétaires de magasin en ligne autour le monde.
Le Moonpig Hack: Qu`est-il arrivé?
Retour en 2013, développeur Paul Price a découvert que les requêtes API mobiles sur le site Moonpig.com pourrait être piraté, permettant ainsi les pirates criminels de passer des commandes sur un compte. De plus, des données telles que les noms des clients, la date de naissance, adresse, expirations de carte de crédit et les quatre derniers chiffres de la carte pourrait être considérée.
Les sites Web qui offrent des achats en ligne fournissent des limiteurs de vitesse qui réduisent l`impact des scripts automatisés, mais Moonpig omis de le faire, ce qui en fait une cible facile, ouvert pour les pirates.
Dans un premier temps informé par le prix de la vulnérabilité à la mi-2013, a affirmé que Moonpig qu`ils le fixer droit loin- 18 mois plus tard, la vulnérabilité est restée.
Dit Prix quand il a publié les détails de la vulnérabilité en ligne:
« Je l`ai vu des mesures de sécurité demi-arsed dans mon temps, mais cela prend juste le biscuit. Celui qui l`architecte ce système doit être waterboarding. Chaque demande d`API est comme ceci: il n`y a pas d`authentification du tout et vous pouvez passer dans un numéro de client pour usurper leur identité. Un attaquant pourrait facilement passer des commandes sur d`autres comptes de clients, d`ajouter ou de récupérer des informations de carte, vue adresses enregistrées, les commandes de vue et bien plus encore « .
Pour l`essentiel, l`authentification de base a été utilisée et les données de compte a révélé sans contrôles d`authentification.
Prix a décidé de rendre public le hack après Moonpig répondu à son suivi de contact en Septembre 2014 pour avoir le correctif en place par Noël. Quand il a révélé tout le 5 Janviere, il avait encore être branché.
Réaction de moonpig To The Hack
La leçon de cette histoire est pas tant à propos du hack - ils passe de plus en plus dans l`industrie achats en ligne - mais sur l`attitude de l`entreprise, et ce que cela signifie pour les consommateurs.
Si l`on considère le volume des hacks au cours des deux dernières années, comme eBay fuite encore inexpliquée et Cible de perdre 40 millions de cartes de crédit alors nous pouvons voir qu`il semble être au mieux une ignorance, à la complaisance pire absolue, vers la sécurité en ligne.La violation de données eBay: Ce que vous devez savoirLa violation de données eBay: Ce que vous devez savoirLire la suite
Prenons, par exemple, la réponse Moonpig aux nouvelles:
Cette tentative de limitation des dégâts a été appelé immédiatement:
.@MoonpigUK Vraiment? C`est votre stratégie pour faire face à être appelé sur votre négligence? Mentir à ce sujet?
- Chris Ward (@christopherward) 6. Janvier, ici à 2015
catastrophe de relations publiques de côté, l`incapacité de Moonpig à traiter la question en temps opportun met en évidence l`importance des tests de pénétration réguliers de fonctionnement sur les sites Internet face, ainsi que de répondre aux avis de sécurité rapidement.
Comment les clients peuvent bénéficier de vulnérabilités de sécurité
On ne sait pas si des données a été volée Moonpig via cette vulnérabilité, et en fonction de leurs efforts de limitation des dégâts jusqu`à présent, ils ne partagent probablement les informations même si elles avaient.
Les questions sans fin avec en ligne sécurité achats au cours des 24 derniers mois ou ont commencé à saper la confiance dans l`industrie. Alors que eBay donne peu loin à ce stade, par exemple (et n`a jamais confirmé la façon dont leurs données a été piraté), il est remarquable lecteur vers d`autres annonces gratuites et bonus au milieu de l`année 2014 suggère un grand nombre d`utilisateurs est resté loin.
Court de lancer des actions civiles contre ces entreprises, les seules mesures concrètes clients peuvent prendre contre l`abus flagrant et l`insécurité de leurs données (et si vous êtes un client Moonpig.com il vaut la peine de vérifier pour toutes les promesses de la sécurité des données dans vos conditions initiales et conditions) est de voter avec leur portefeuille.
Avec l`explosion des services de messagerie et les livraisons de drones, de vastes entrepôts à travers le pays et livraisons vastes, Amazon se révèle comment satisfaire les commandes des clients et de garder leurs données en toute sécurité (à ce jour). D`autres entreprises devraient utiliser Amazon comme exemple, plutôt qu`un modèle rugueux pour tenter d`imiter. Le non-respect cela ne peut donner lieu à la fin des achats en ligne - ou la domination totale d`Amazon.
Seulement en prenant des mesures pour faire du shopping ailleurs, nous pouvons bénéficier de magasins en ligne qui prennent leurs responsabilités au sérieux.
Ne pas quitter Online Shopping Pourtant: Juste Achetez plus malin
Au cours des deux dernières années, nous avons vu beaucoup trop de grands noms piraté. Mais ces intrusions, et les fuites de données ultérieures, ne signifie pas que vous devez rester un client. En fait, vous devez faire le contraire et la tête pour les concurrents plus sûrs, ou magasiner localement, au lieu. Si vous êtes pris et à magasiner sur un site qui est piraté, vous devriez considérer ces options alternatives.Magasin Vous magasiner fasse pirater? Voici Que faireMagasin Vous magasiner fasse pirater? Voici Que faireLire la suite
Bien sûr, vous pourriez avoir une meilleure solution. Il faut donc utiliser les commentaires pour partager, et toutes les histoires connexes que vous pourriez avoir.
Donnez votre site un contrôle de sécurité complet avec hackertarget
En fouillant dans le battage médiatique: a heartbleed fait de mal à personne?
Vous magasiner à obtenir piraté? Voici ce qu`il faut faire
Nouvelle violation de la sécurité ebay: temps de reconsidérer votre adhésion?
Est-ce que votre compte dropbox vraiment piraté obtenir?
3 Conseils de prévention de la fraude en ligne vous devez savoir en 2014
Cinq façons de vous protéger et ne pas être victime d`une arnaque sur le vendredi noir
Google devrait annoncer les vulnérabilités avant qu`elles ont été corrigées?
Si vous vider vos cartes de fidélité après le starbucks pirater?
Quel est le hack opm, et qu`est-ce que cela signifie pour vous?
Pourquoi les entreprises en gardant les violations un secret pourrait être une bonne chose
Est la banque en ligne sécurisé? 5 risques qui devrait vous inquiéter
Slack et pirater: ce que vous devez savoir sur la collaboration de la sécurité de l`outil violation
Vtech: jouer en vrac avec les données de vos enfants
Aliexpress est pas cher, mais est-il sûr d`acheter là-bas?
7 Raisons de sécurité pourquoi vous devriez éviter ebay
Ce que vous devez savoir sur le massif linkedin comptes fuite
Teamviewer bidouille: tout ce que vous devez savoir
La violation de données ebay: ce que vous devez savoir
Sont les développeurs de jeux vidéo en prenant la sécurité en ligne au sérieux?