Mainos
Verkkokorttivarasto Moonpig paljasti hakkereita asiakastietoja vähintään 15 kuukauden ajan, huolimatta asiantuntijan varoituksista, että reikä oli kytkettävä pistorasiaan.
Täällä on useita oppitunteja. Ensimmäinen: ylimielisyys on vaarallista. Toiseksi: asiakkaiden on tärkeää kouluttaa itseään ja varmistaa, että yritykset pyrkivät pitämään heidät turvassa. Ja kolmas: ”tunnettu nimi” ei ole välttämättä turvallinen.
Moonpig on online-onnittelukauppa, joka myy räätälöityjä kortteja ja mukeja verkkosivustonsa kautta. Erittäin suosittu (säännöllisen TV-mainonnan ansiosta) Moonpig lähetti 6 miljoonaa korttia Iso-Britanniassa vuonna 2007. Vaikka brittiläinen sivusto (sijaitsee Lontoossa ja Guernseyn Channel Islandilla), tämä tilanne vaikuttaa ostajiin ja verkkokauppojen omistajiin ympäri maailmaa.
Moonpig-hakkerointi: mitä tapahtui?
Kehittäjä Paul Price huomasi vuonna 2013, että Moonpig.com-sivuston mobiilisovellusliittymäpyynnöt voidaan hakkeroida, jolloin rikolliset hakkerit voivat tehdä tilauksia mille tahansa tilille. Lisäksi tietoja, kuten asiakkaiden nimiä, syntymäaikaa, osoitetta, luottokortin voimassaoloajan päättymistä ja kortin neljä viimeistä numeroa, voitiin tarkastella.
Verkkokauppoja tarjoavat verkkosivustot tarjoavat yleensä nopeudenrajoittimia, jotka vähentävät automatisoitujen komentosarjojen vaikutusta, mutta Moonpig ei tehnyt tätä, joten siitä on helppo, avoin kohde hakkereille.
Price ilmoitti aluksi haavoittuvuudesta vuoden 2013 puolivälissä, Moonpig väitti, että he korjaisivat sen heti; 18 kuukautta myöhemmin haavoittuvuus säilyi.
Said Hinta kun hän julkaistut tiedot haavoittuvuudesta Online:
”Olen nähnyt omalla ajallaan joitain puolivaltaisia turvatoimenpiteitä, mutta tämä vie vain keksin. Kuka tahansa tämän järjestelmän arkkitehti, on saatava vesille. Jokainen sovellusliittymäpyyntö on tällainen: laillisuustarkistusta ei ole lainkaan, ja voit antaa minkä tahansa asiakastunnuksen jäljitelläksesi heitä. Hyökkääjä voi helposti tehdä tilauksia muille asiakastilille, lisätä tai hakea korttitietoja, katsella tallennettuja osoitteita, katsella tilauksia ja paljon muuta. "
Pohjimmiltaan käytettiin perustodennusta ja tilitiedot paljastettiin ilman todennustarkastuksia.
Price päätti tulla julkiseksi hakkeroinnin jälkeen, kun Moonpig vastasi seurantayhteyteensä syyskuussa 2014 saadakseen korjauksen paikoilleen jouluna. Kun hän paljasti kaikki 5. tammikuutath, sitä ei vielä ollut kytketty.
Moonpigin reaktio hakata
Tämän tarinan oppitunti ei koske niinkään hakkerointia - niitä tapahtuu yhä enemmän verkkokaupoissa - vaan yrityksen asenteesta ja siitä, mitä tämä tarkoittaa kuluttajille.
Jos tarkastellaan hakkeroinnin määrää parin viime vuoden aikana, kuten edelleen selittämätön eBay-vuoto EBay-tietojen rikkomus: mitä sinun on tiedettävä Lue lisää ja Tavoite menettää 40 miljoonaa luottokorttia Tavoite vahvistaa jopa 40 miljoonan Yhdysvaltain asiakkaan mahdollisesti hakkeroituja luottokorttejaTarget on juuri vahvistanut, että hakkerointi olisi voinut vaarantaa luottokorttitiedot jopa 40 miljoonaa asiakasta, jotka ovat tehneet ostoksia Yhdysvaltain kaupoista 27. marraskuuta ja 15. joulukuuta välisenä aikana 2013. Lue lisää silloin voimme nähdä, että parhaimmillaan tuntuu tietämättömyys tai pahimmassa mielessä omaehtoisuus verkkoturvallisuuden suhteen.
Otetaan esimerkiksi Moonpig-vastaus uutisiin:
Olemme tietoisia vaatimuksista asiakkaan tiedoista ja voimme vahvistaa, että kaikki salasana- ja maksutiedot ovat ja ovat aina olleet turvassa.
- Hautausmaa? (@MoonpigUK) 6. tammikuuta 2015
Tämä yritys vaurioiden rajoittamiseksi kutsuttiin välittömästi esiin:
.@MoonpigUK Nimien lisäksi, viimeinen voimassaolopäivä ja 4 viimeistä numeroa, jotka ovat olleet käytettävissä yksinkertaisesti sovellusliittymän kautta yli 17 kuukauden ajan... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6. tammikuuta 2015
Suhdetoimintakatastrofi syrjään, Moonpigin kyvyttömyys käsitellä asiaa ajoissa korostaa säännöllisten läpäisytestien tärkeys Internetissä olevissa verkkosivustoissa sekä turvallisuuteen reagoiminen neuvoja heti.
Kuinka asiakkaat voivat hyötyä tietoturvan haavoittuvuuksista
Ei ole epäselvää, onko Moonpigilta varastatu mitään tietoja tämän haavoittuvuuden kautta, ja toistaiseksi heidän vahingonrajoittamistoimenpiteidensä perusteella he todennäköisesti eivät jaa tietoja, vaikka heillä olisi niitä.
Viimeisten 24 kuukauden aikana tehdyt loputtomat verkkokauppojen turvallisuuteen liittyvät kysymykset ovat alkaneet heikentää luottamusta alaan. Vaikka eBay antaa esimerkiksi tässä vaiheessa vähän pois (eikä koskaan vahvistanut, kuinka heidän tietojaan hakkeroitiin), se on Huomattava pyrkimys ilmaisiin luetteloihin ja muihin bonuksiin vuoden 2014 puolivälissä viittaa siihen, että paljon käyttäjiä jäi pois.
Ainoa todellinen askel, jonka asiakkaat voivat ryhtyä siviilioikeudenkäynteihin näitä yrityksiä vastaan, ovat tietonsa räikeää väärinkäyttöä ja epävarmuutta vastaan (ja jos olet Moonpig.com-asiakas, on syytä tarkistaa mahdolliset tietoturvallisuudet alkuperäisissä käyttöehdoissasi) on äänestää heidän kanssaan lompakot.
Kuriiripalvelujen ja droonitoimitusten, valtavien varastojen ja koko maan laajojen toimitusten räjähdyksen myötä Amazon osoittaa, kuinka täyttää asiakkaiden tilaukset ja pitää heidän tietoturvansa (toistaiseksi). Muiden yritysten tulisi käyttää Amazonia esimerkkinä mieluumman mallin sijasta kuin matkia. Tämän tekemättä jättäminen voi johtaa vain verkkokaupojen loppumiseen - tai Amazonin täydelliseen määräävään asemaan.
Vain tekemällä toimia ostoksille muualle voimme hyötyä siitä, että verkkokaupat ottavat vastuunsa vakavasti.
Älä lopeta verkkokauppojen suorittamista vielä: Osta vain älykkäämmin
Parin viime vuoden aikana olemme nähneet liian monia suuria nimiä hakkeroituneita. Nämä tunkeutumiset ja myöhemmät tietovuodot eivät kuitenkaan tarkoita, että sinun on pysyttävä asiakkaana. Itse asiassa sinun pitäisi tehdä päinvastoin ja suunnata turvallisempien kilpailijoiden puolelle tai tehdä ostoksia paikallisesti sen sijaan. Jos olet kiinni ja shoppailet hakkeroidulla sivustolla, saatat myös harkitse näitä vaihtoehtoisia vaihtoehtoja Ostatko kauppaa, kun hakkeroit? Tässä on mitä tehdä Lue lisää .
Tietenkin, sinulla voi olla parempi ratkaisu. Joten jaa se kommenttien ja mahdollisten liittyvien tarinoidesi kanssa.
Kuvahyvitys: Ostokset verkossa Shutterstockin kautta
Christian Cawley on varatoimittaja turvallisuuteen, Linuxiin, itsehoitoon, ohjelmointiin ja teknisiin selityksiin. Hän tuottaa myös The Really Useful Podcastin ja hänellä on laaja kokemus työpöydän ja ohjelmistojen tuesta. Linux Format -lehden avustaja Christian on Vadelma Pi-tinkerer, Lego-rakastaja ja retro-fani.
