Advertentie
Online winkel voor wenskaarten Moonpig heeft klantgegevens gedurende ten minste 15 maanden aan hackers bekendgemaakt, ondanks waarschuwingen van een expert dat er een gat moest worden gedicht.
Er zijn hier meerdere lessen. De eerste: zakelijke arrogantie is gevaarlijk. Ten tweede: het is belangrijk dat klanten zichzelf informeren en ervoor zorgen dat bedrijven eraan werken om ze veilig te houden. En de derde: een 'bekende naam' is niet per se een veilige.
Moonpig is een online winkel voor wenskaarten die op maat gemaakte kaarten en mokken verkoopt via hun website. Enorm populair (dankzij regelmatige tv-advertenties), heeft Moonpig in 2007 6 miljoen kaarten in het VK verzonden. Hoewel het een Britse site is (gevestigd in Londen en het Kanaaleiland Guernsey), is dit een situatie die klanten en eigenaren van online winkels over de hele wereld treft.
The Moonpig Hack: Wat is er gebeurd?
In 2013 ontdekte ontwikkelaar Paul Price dat mobiele API-verzoeken op de Moonpig.com-website konden worden gehackt, waardoor criminele hackers bestellingen voor elk account konden plaatsen. Bovendien kunnen gegevens zoals klantnamen, geboortedatum, adres, vervaldatum van de creditcard en de laatste vier cijfers van de kaart worden bekeken.
Websites die online winkelen aanbieden, bieden meestal snelheidslimieten die de impact van geautomatiseerde scripts verminderen, maar Moonpig verzuimde dit te doen, waardoor het een gemakkelijk, open doelwit voor hackers werd.
Aanvankelijk geïnformeerd door Price over de kwetsbaarheid medio 2013, beweerde Moonpig dat ze het onmiddellijk zouden oplossen; 18 maanden later bleef de kwetsbaarheid bestaan.
Zei Price toen hij gepubliceerde details van de kwetsbaarheid online:
"Ik heb in mijn tijd een aantal halfslachtige beveiligingsmaatregelen gezien, maar hiervoor is alleen het koekje nodig. Wie dit systeem ook bouwt, moet een waterschap hebben. Elk API-verzoek is als volgt: er is helemaal geen authenticatie en u kunt elke klant-ID doorgeven om zich voor te doen. Een aanvaller kan gemakkelijk bestellingen plaatsen op accounts van andere klanten, kaartgegevens toevoegen of ophalen, opgeslagen adressen bekijken, bestellingen bekijken en nog veel meer. ”
In wezen werd basisverificatie gebruikt en werden accountgegevens bekendgemaakt zonder verificatiecontroles.
Price besloot de hack openbaar te maken nadat Moonpig in september 2014 op zijn vervolgcontact had gereageerd om de oplossing met Kerstmis te hebben. Toen hij alles onthulde op 5 januarith, het moest nog worden aangesloten.
Moonpigs reactie op de hack
De les van dit verhaal gaat niet zozeer over de hack - ze gebeuren steeds meer in de online winkelindustrie - maar over de houding van het bedrijf en wat dit voor consumenten betekent.
Als we kijken naar het aantal hacks van de afgelopen jaren, zoals nog steeds onverklaard eBay-lek Het datalek op eBay: wat u moet weten Lees verder en Target verliest 40 miljoen creditcards Target bevestigt tot 40 miljoen Amerikaanse klanten, mogelijk gehackte creditcardsTarget heeft zojuist bevestigd dat een hack de creditcardgegevens voor maximaal kan hebben aangetast 40 miljoen klanten die tussen 27 november en 15 december in hun Amerikaanse winkels hebben gewinkeld 2013. Lees verder dan zien we dat er op zijn best een onwetendheid lijkt te bestaan, in het slechtste geval zelfgenoegzaam, met betrekking tot online beveiliging.
Neem bijvoorbeeld de Moonpig-reactie op het nieuws:
We zijn op de hoogte van claims met betrekking tot klantgegevens en kunnen bevestigen dat alle wachtwoord- en betalingsinformatie altijd veilig is en is geweest.
- Tombpig?? (@MoonpigUK) 6 januari 2015
Deze poging tot beperking van schade werd onmiddellijk uitgeroepen:
.@MoonpigUK Afgezien van namen, vervaldatums en laatste 4 cijfers die al meer dan 17 maanden eenvoudig toegankelijk zijn via uw API... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6 januari 2015
Afgezien van de ramp met de public relations, benadrukt Moonpig's onvermogen om het probleem tijdig aan te pakken belang van het regelmatig uitvoeren van penetratietests op websites die op internet zijn gericht, evenals het reageren op beveiliging adviezen onmiddellijk.
Hoe klanten kunnen profiteren van beveiligingslekken
Het is niet duidelijk of er via dit beveiligingslek gegevens zijn gestolen van Moonpig, en op basis van hun pogingen tot beperking van de schade tot nu toe zouden ze de informatie waarschijnlijk niet delen, zelfs als ze die wel hadden.
De eindeloze problemen met de beveiliging van online winkelen van de afgelopen 24 maanden beginnen het vertrouwen in de branche te ondermijnen. Terwijl eBay in dit stadium weinig weggeeft, bijvoorbeeld (en nooit heeft bevestigd hoe hun gegevens zijn gehackt), is het dat wel een opmerkelijke drang naar gratis aanbiedingen en andere bonussen halverwege 2014 suggereert dat veel gebruikers zijn gebleven weg.
Afgezien van het opstarten van civiele acties tegen deze bedrijven, zijn de enige echte stappen die klanten kunnen ondernemen tegen het flagrante misbruik en de onveiligheid van hun gegevens (en als u een klant van Moonpig.com bent, is het de moeite waard om te controleren op beloften van gegevensbeveiliging in uw oorspronkelijke algemene voorwaarden) is om te stemmen met hun portemonnees.
Met de explosie van koeriersdiensten en droneleveringen, enorme magazijnen in het hele land en enorme leveringen, bewijst Amazon hoe klantenorders te vervullen en hun gegevens (tot nu toe) veilig te houden. Andere bedrijven zouden Amazon als voorbeeld moeten gebruiken in plaats van een ruwe sjabloon om te proberen na te bootsen. Als u dit niet doet, kan dit alleen leiden tot het einde van online winkelen - of de totale dominantie van Amazon.
Alleen door stappen te ondernemen om elders te winkelen, kunnen we profiteren van online winkels die hun verantwoordelijkheden serieus nemen.
Stop nog niet met online winkelen: koop gewoon slimmer
De afgelopen jaren hebben we veel te veel grote namen gehackt gezien. Maar deze indringers en daaropvolgende datalekken betekenen niet dat u klant moet blijven. In feite moet u het tegenovergestelde doen en in plaats daarvan naar de veiligere concurrenten gaan of lokaal winkelen. Als u wordt betrapt en winkelt op een site die is gehackt, kunt u dat ook doen overweeg deze alternatieve opties Winkel waar u winkelt bij Get Hacked? Hier is wat te doen Lees verder .
Natuurlijk heeft u misschien een betere oplossing. Dus gebruik de opmerkingen om het te delen, en eventuele gerelateerde verhalen die je hebt.
Afbeelding tegoed: Online winkelen via Shutterstock
Christian Cawley is adjunct-redacteur voor beveiliging, Linux, doe-het-zelf, programmeren en technische uitleg. Hij produceert ook The Really Useful Podcast en heeft uitgebreide ervaring met desktop- en softwareondersteuning. Christian is een medewerker van het Linux Format-tijdschrift en is een Raspberry Pi-knutselaar, Lego-liefhebber en retro-gamingfan.