Skelbimas
Internetinėje sveikinimo atvirukų parduotuvėje „Moonpig“ ne mažiau kaip 15 mėnesių saugojo klientų duomenis hakeriais, nepaisant eksperto perspėjimų, kad yra skylė, kurią reikia uždaryti.
Čia vyksta kelios pamokos. Pirmasis: įmonių arogancija yra pavojinga. Antra: klientams svarbu mokytis ir įsitikinti, kad įmonės stengiasi juos apsaugoti. Ir trečias: „žinomas vardas“ nebūtinai yra saugus.
„Moonpig“ yra internetinė sveikinimo atvirukų parduotuvė, prekiaujanti pagal užsakymą sukurtomis kortelėmis ir puodeliais per savo svetainę. Itin populiarus (dėl įprastos TV reklamos) „Moonpig“ 2007 m. JK išsiuntė 6 milijonus kortelių. Nors britų svetainė (įsikūrusi Londone ir Gernsio kanalo saloje), tokia padėtis turi įtakos pirkėjams ir internetinių parduotuvių savininkams visame pasaulyje.
„Moonpig hack“: kas nutiko?
Dar 2013 m. Kūrėjas Paulas Price'as atrado, kad mobiliųjų API užklausos Moonpig.com svetainėje gali būti nulaužtos, ir tai leis nusikalstams įsilaužėliams pateikti užsakymus į bet kurią sąskaitą. Be to, buvo galima peržiūrėti tokius duomenis kaip klientų vardai, gimimo data, adresas, kredito kortelės galiojimo laikas ir paskutiniai keturi kortelės skaitmenys.
Internetinėse svetainėse, kurios siūlo apsipirkimą internetu, paprastai pateikiami normos ribotuvai, mažinantys automatizuotų scenarijų poveikį, tačiau „Moonpig“ to nepadarė, padarydami tai lengvu, atviru įsilaužėlių taikiniu.
Iš pradžių „Price“ informavo apie pažeidžiamumą 2013 m. Viduryje, „Moonpig“ teigė, kad jie tai nedelsdami ištaisys; Po 18 mėnesių pažeidžiamumas išliko.
Sakė Kaina, kai jis paskelbta informacija apie pažeidžiamumą prisijungęs:
„Aš per tą laiką mačiau kai kurias saugumo priemones, kurių nesilaikoma pusiau, tačiau tai tik užtrunka sausainį. Kas suprojektuos šią sistemą, ji turi būti užmesta į vandenį. Kiekviena API užklausa yra tokia: autentifikavimo nėra ir jūs galite įvesti bet kurį kliento ID, kad juo apsimetinėtumėte. Užpuolikas gali lengvai pateikti užsakymus į kitų klientų paskyras, pridėti arba nuskaityti kortelės informaciją, peržiūrėti išsaugotus adresus, peržiūrėti užsakymus ir dar daugiau “.
Iš esmės buvo naudojamas pagrindinis autentifikavimas ir atskleisti sąskaitos duomenys be autentifikavimo patikrinimų.
Price nusprendė viešai paskelbti apie įsilaužimą po to, kai 2014 m. Rugsėjo mėn. „Moonpig“ atsakė į jo tolesnius kontaktus, kad nustatytų pataisas iki Kalėdų. Kai jis viską atskleidė sausio 5 dtūkst, jis dar nebuvo prijungtas.
Moonpigo reakcija į hacką
Šios istorijos pamoka susijusi ne tiek su įsilaužimu - jie vis daugiau pasitaiko internetinių parduotuvių pramonėje, kiek apie įmonės požiūrį ir ką tai reiškia vartotojams.
Jei atsižvelgsime į hakerių skaičių per pastaruosius porą metų, tokius kaip vis dar nepaaiškinamas „eBay“ nutekėjimas „EBay“ duomenų pažeidimas: ką reikia žinoti Skaityti daugiau ir Tikslas pamesti 40 milijonų kredito kortelių Tikslas patvirtina iki 40 milijonų JAV klientų kreditinių kortelių, kurios gali būti apgaulingos„Target“ ką tik patvirtino, kad įsilaužimas galėjo pakenkti kredito kortelės informacijai iki 40 milijonų klientų, kurie JAV parduotuvėse apsipirko nuo lapkričio 27 d. Iki gruodžio 15 d 2013. Skaityti daugiau tada matome, kad geriausiu atveju atrodo, kad internetinė sauga yra nežinoma, o blogiausiu atveju - visiškai patenkinama.
Paimkite, pavyzdžiui, „Moonpig“ atsakymą į naujienas:
Mes žinome apie pretenzijas dėl klientų duomenų ir galime patvirtinti, kad visa slaptažodžio ir mokėjimo informacija yra ir visada buvo saugi.
- kapas?? (@MoonpigUK) 2015 m. Sausio 6 d
Šis bandymas apriboti žalą buvo nedelsiant iškviestas:
.@MoonpigUK Be vardų, galiojimo pabaigos datų ir paskutinių 4 skaitmenų, kurie buvo pasiekiami paprasčiausiai per jūsų API per 17 mėnesių... @Charlotteis
- Jamesas Seymouras-Lockas (@JamesSLock) 2015 m. Sausio 6 d
Nepaisant viešųjų ryšių katastrofos, Moonpig nesugebėjimas laiku išspręsti šios problemos pabrėžia, kad reguliarių interneto skvarbumo testų, taip pat reagavimo į saugumą, svarba skubiai pataria.
Kaip klientai gali naudotis saugumo pažeidžiamumu
Neaišku, ar per šį pažeidžiamumą iš Moonpig buvo pavogti kokie nors duomenys. Remdamiesi ligšiolinėmis žalos mažinimo pastangomis jie greičiausiai nesidalins informacija, net jei ją turėtumėte.
Pastarieji maždaug 24 mėnesiai nesibaigiantys apsipirkimo internetu saugumo klausimai pradėjo mažinti pasitikėjimą šia pramonės šaka. Nors „eBay“ šiame etape, pavyzdžiui, mažai ką atiduoda (ir niekada nepatvirtino, kaip buvo nulaužti jų duomenys), tai yra nepaprastas aukcionų ir kitų premijų skatinimas 2014 m. viduryje rodo, kad liko daug vartotojų toli.
Neužmezgę civilinių ieškinių prieš šias įmones, vieninteliai realūs veiksmai, kurių klientai gali imtis prieš šiurkštų netinkamą duomenų naudojimą ir nesaugumą (o jei esate „Moonpig.com“ klientas, verta patikrinti, ar nėra pažadėtų duomenų saugumo pagal jūsų pradines taisykles ir sąlygas) - balsuoti su piniginės.
Sprogdindamas kurjerių tarnybas ir dronų pristatymus, didžiulius sandėlius visoje šalyje ir gausius pristatymus, „Amazon“ įrodo, kaip įvykdyti klientų užsakymus ir saugoti jų duomenis (iki šiol). Kitos įmonės turėtų naudoti „Amazon“ kaip pavyzdį, o ne grubų šabloną bandydamos pamėgdžioti. To nepadarius, internetinės parduotuvės gali būti baigtos - arba visiškas „Amazon“ dominavimas.
Tik imdamiesi priemonių apsipirkti kitur galime gauti naudos iš to, kad internetinės parduotuvės rimtai vertina savo pareigas.
Vis dėlto neatsisakykite apsipirkimo internetu: tiesiog apsipirk intelektualiau
Per pastaruosius porą metų mes pamatėme per daug didelių vardų. Bet šie įsibrovimai ir vėlesni duomenų nutekėjimai dar nereiškia, kad turite likti klientu. Tiesą sakant, turėtumėte elgtis priešingai ir kreiptis į saugesnius konkurentus arba apsipirkti vietoje, o ne vietoje. Jei esate užkluptas ir apsipirkinėjate svetainėje, į kurią įsilaužta, galbūt taip pat galite apsvarstykite šias alternatyvias galimybes Parduotuvė, kurioje apsiperkate, kad įsilaužtumėte? Štai ką daryti Skaityti daugiau .
Žinoma, galbūt turėsite geresnį sprendimą. Taigi, jei norite pasidalinti ja, naudokite komentarus ir visas susijusias istorijas.
Vaizdo kreditas: Apsipirkimas internetu per „Shutterstock“
Christianas Cawley yra „Linux“, „pasidaryk pats“, programavimo ir techninių paaiškinimų saugumo, redaktoriaus pavaduotojas. Jis taip pat kuria „The Really Useful Podcast“ ir turi didelę patirtį palaikant darbalaukį ir programinę įrangą. Žurnalo „Linux Format“ bendradarbis Christianas yra „Raspberry Pi“ gamintojas, „Lego“ mėgėjas ir retro žaidimų gerbėjas.