Werbung

Der Online-Grußkartenladen Moonpig hat Kundendaten mindestens 15 Monate lang Hackern ausgesetzt, obwohl ein Experte gewarnt hat, dass ein Loch geschlossen werden muss.

Hier gibt es mehrere Lektionen. Das erste: Unternehmensarroganz ist gefährlich. Zweitens: Es ist wichtig, dass Kunden sich weiterbilden und sicherstellen, dass Unternehmen daran arbeiten, sie zu schützen. Und drittens: Ein "bekannter Name" ist nicht unbedingt sicher.

Moonpig ist ein Online-Grußkartenladen, der über seine Website maßgeschneiderte Karten und Tassen verkauft. Moonpig war sehr beliebt (dank regelmäßiger Fernsehwerbung) und lieferte 2007 6 Millionen Karten in Großbritannien aus. Während es sich um eine britische Website handelt (mit Sitz in London und auf der Kanalinsel Guernsey), ist dies eine Situation, die Käufer und Online-Shop-Besitzer auf der ganzen Welt betrifft.

The Moonpig Hack: Was ist passiert?

Bereits 2013 entdeckte Entwickler Paul Price, dass mobile API-Anfragen auf der Moonpig.com-Website gehackt werden können, sodass kriminelle Hacker Bestellungen auf jedem Konto aufgeben können. Außerdem können Daten wie Kundennamen, Geburtsdatum, Adresse, Ablaufdatum der Kreditkarte und die letzten vier Ziffern der Karte angezeigt werden.

instagram viewer

Muo-Security-Moonpig-Hack-Karte

Websites, die Online-Shopping anbieten, bieten normalerweise Ratenbegrenzer, die die Auswirkungen automatisierter Skripte verringern. Moonpig hat dies jedoch unterlassen, was es zu einem einfachen, offenen Ziel für Hacker macht.

Moonpig wurde ursprünglich von Price Mitte 2013 über die Sicherheitsanfälligkeit informiert und behauptete, sie werde sie sofort beheben. 18 Monate später blieb die Sicherheitslücke bestehen.

Sagte Price, als er veröffentlichte Details der Sicherheitsanfälligkeit online:

"Ich habe in meiner Zeit einige halbherzige Sicherheitsmaßnahmen gesehen, aber das braucht nur den Keks. Wer dieses System entwickelt, muss mit einem Waterboard versehen werden. Jede API-Anfrage sieht folgendermaßen aus: Es gibt überhaupt keine Authentifizierung und Sie können eine beliebige Kunden-ID eingeben, um sich als solche auszugeben. Ein Angreifer kann problemlos Bestellungen auf Konten anderer Kunden aufgeben, Karteninformationen hinzufügen oder abrufen, gespeicherte Adressen anzeigen, Bestellungen anzeigen und vieles mehr. “

Im Wesentlichen wurde die Basisauthentifizierung verwendet und Kontodaten ohne Authentifizierungsprüfungen angezeigt.

Price beschloss, den Hack an die Öffentlichkeit zu bringen, nachdem Moonpig auf seinen Folgekontakt im September 2014 geantwortet hatte, um die Lösung bis Weihnachten zu haben. Als er am 5. Januar alles enthülltethmusste es noch eingesteckt werden.

Moonpigs Reaktion auf den Hack

In dieser Geschichte geht es nicht so sehr um den Hack - er findet immer mehr in der Online-Shopping-Branche statt -, sondern um die Haltung des Unternehmens und was dies für die Verbraucher bedeutet.

Wenn wir das Volumen der Hacks in den letzten Jahren berücksichtigen, wie z noch ungeklärtes eBay-Leck Die eBay-Datenverletzung: Was Sie wissen müssen Weiterlesen und Ziel ist es, 40 Millionen Kreditkarten zu verlieren Ziel bestätigt bis zu 40 Millionen potenziell gehackte Kreditkarten von US-KundenZiel hat gerade bestätigt, dass ein Hack die Kreditkarteninformationen für bis zu bis zu kompromittiert haben könnte 40 Millionen Kunden, die zwischen dem 27. November und dem 15. Dezember in ihren US-Filialen eingekauft haben 2013. Weiterlesen dann können wir sehen, dass es bestenfalls eine Unwissenheit, schlimmstenfalls völlige Selbstzufriedenheit gegenüber der Online-Sicherheit zu geben scheint.

Nehmen Sie zum Beispiel die Antwort von Moonpig auf die Nachrichten:

Wir sind uns der Ansprüche bezüglich Kundendaten bewusst und können bestätigen, dass alle Passwort- und Zahlungsinformationen sicher sind und waren.

- Tombpig? (@MoonpigUK) 6. Januar 2015

Dieser Versuch der Schadensbegrenzung wurde sofort ausgerufen:

.@ MoonpigUK Abgesehen von Namen, Ablaufdaten und den letzten 4 Ziffern, auf die Sie seit über 17 Monaten einfach über Ihre API zugreifen können… @Charlotteis

- James Seymour-Lock (@JamesSLock) 6. Januar 2015

Abgesehen von der PR-Katastrophe zeigt Moonpigs Unfähigkeit, das Problem rechtzeitig zu lösen, die Es ist wichtig, regelmäßig Penetrationstests auf Websites mit Internetzugang durchzuführen und auf die Sicherheit zu reagieren Ratschläge umgehend.

Wie Kunden von Sicherheitslücken profitieren können

Es ist nicht klar, ob Daten über diese Sicherheitsanfälligkeit von Moonpig gestohlen wurden, und aufgrund ihrer bisherigen Bemühungen zur Schadensbegrenzung würden sie die Informationen wahrscheinlich nicht weitergeben, selbst wenn sie diese hätten.

Die endlosen Probleme mit der Sicherheit beim Online-Einkauf in den letzten 24 Monaten haben begonnen, das Vertrauen in die Branche zu untergraben. Während eBay zum Beispiel zu diesem Zeitpunkt wenig preisgibt (und nie bestätigt hat, wie ihre Daten gehackt wurden), ist dies der Fall Ein bemerkenswerter Drang zu kostenlosen Angeboten und anderen Boni Mitte 2014 lässt darauf schließen, dass viele Benutzer geblieben sind Weg.

muo-security-moonpig-hack-card2

Ohne zivilrechtliche Schritte gegen diese Unternehmen einzuleiten, sind die einzigen wirklichen Schritte, die Kunden gegen den offensichtlichen Missbrauch und die Unsicherheit ihrer Daten unternehmen können (und wenn Sie ein Kunde von Moonpig.com sind, lohnt es sich, in Ihren ursprünglichen Geschäftsbedingungen nach Versprechungen der Datensicherheit zu suchen), mit diesen abzustimmen Geldbörsen.

Mit der Explosion von Kurierdiensten und Drohnenlieferungen, riesigen Lagern im ganzen Land und riesigen Lieferungen beweist Amazon, wie Kundenaufträge erfüllt und ihre Daten (bis jetzt) ​​sicher aufbewahrt werden können. Andere Unternehmen sollten Amazon als Beispiel verwenden und nicht eine grobe Vorlage, um zu versuchen, sie nachzuahmen. Wenn Sie dies nicht tun, kann dies nur zum Ende des Online-Shoppings führen - oder zur totalen Dominanz von Amazon.

Nur wenn wir Schritte unternehmen, um anderswo einzukaufen, können wir davon profitieren, dass Online-Shops ihre Verantwortung ernst nehmen.

Beenden Sie den Online-Einkauf noch nicht: Kaufen Sie einfach intelligenter ein

In den letzten Jahren haben wir viel zu viele große Namen gehackt gesehen. Diese Eingriffe und nachfolgenden Datenlecks bedeuten jedoch nicht, dass Sie Kunde bleiben müssen. In der Tat sollten Sie das Gegenteil tun und zu den sichereren Wettbewerbern gehen oder stattdessen vor Ort einkaufen. Wenn Sie erwischt werden und auf einer gehackten Website einkaufen, können Sie dies auch tun Betrachten Sie diese alternativen Optionen Laden Sie einkaufen bei Get Hacked? Hier ist was zu tun ist Weiterlesen .

Natürlich könnten Sie eine bessere Lösung haben. Verwenden Sie also die Kommentare, um sie zu teilen, und alle verwandten Geschichten, die Sie möglicherweise haben.

Bildnachweis: Online-Shopping über Shutterstock

Christian Cawley ist stellvertretender Redakteur für Sicherheit, Linux, DIY, Programmierung und Tech Explained. Er produziert auch The Really Useful Podcast und verfügt über umfangreiche Erfahrung im Desktop- und Software-Support. Christian ist ein Mitarbeiter des Linux Format Magazins. Er ist ein Bastler von Raspberry Pi, ein Lego-Liebhaber und ein Retro-Gaming-Fan.