Sigurnosni propusti ističu važnost glasovanja s novčanikom

Oglas

Internetska prodavaonica čestitki Moonpig izlagala je podatke o kupcima hakerima najmanje 15 mjeseci, unatoč upozorenjima stručnjaka da postoji rupa koju je potrebno začepiti.

Ovdje postoji više lekcija. Prvo: korporativna bahatost je opasna. Drugo: klijenti su važni da se educiraju i da tvrtke osiguraju da ih zaštite. I treće: "poznato ime" nije nužno sigurno.

Moonpig je internetska trgovina s čestitkama koja putem svojih web stranica prodaje kartice dizajnirane po mjeri i krigle. Ogromno popularan (zahvaljujući redovitom TV oglašavanju), Moonpig je u Veliku Britaniju 2007. isporučio 6 milijuna karata. Dok je britanska stranica (sa sjedištem u Londonu i Kanalskom otoku Guernsey), ova situacija utječe na kupce i vlasnike internetskih trgovina širom svijeta.

Hack Moonpig: Što se dogodilo?

Još 2013., programer Paul Price otkrio je da se zahtjevi za mobilni API na web stranici Moonpig.com mogu hakirati, čime je omogućeno kriminalnim hakerima da naručuju narudžbe na bilo koji račun. Uz to se mogu vidjeti podaci poput imena kupaca, datuma rođenja, adrese, isteka kreditne kartice i posljednje četiri znamenke kartice.

Web stranice koje nude internetsku kupovinu obično nude ograničenja stope koje smanjuju utjecaj automatiziranih skripti, ali Moonpig je to izostavio, čineći to lakim, otvorenim ciljem za hakere.

Prvobitno obaviještena od strane Price o ranjivosti, sredinom 2013., Moonpig je tvrdio da će je odmah popraviti; 18 mjeseci kasnije ranjivost je ostala.

- rekao je Price kad je objavio detalje o ranjivosti na liniji:

"Vidio sam u svoje vrijeme neke napola sigurnosne mjere, ali za to je potreban keks. Tko god da taj sustav arhitektira treba biti na vodi. Svaki zahtjev API-ja je takav: uopće ne postoji autentifikacija i možete prenijeti bilo koji korisnički ID kako biste ih lažno predstavljali. Napadač može lako slati narudžbe na račune drugih kupaca, dodavati ili dohvaćati podatke o karticama, pregledavati spremljene adrese, pregledati narudžbe i još mnogo toga. "

U osnovi se koristila osnovna provjera autentičnosti, a podaci računa otkriveni su bez provjere autentičnosti.

Price je odlučio krenuti s javnošću protiv hakera nakon što je Moonpig odgovorio na svoj naknadni kontakt u rujnu 2014. kako bi mogao popraviti rješenje do Božića. Kad je sve otkrio 5. siječnja^th, to je još moralo biti uključeno.

Reakcija Moonpig-a na Hack

Pouka ove priče nije toliko o hacku - oni se događaju sve više i više u industriji internetskih kupovina - već o stavu kompanije i što to znači potrošačima.

Ako uzmemo u obzir količinu hakova u zadnjih nekoliko godina, kao što je još uvijek neobjašnjivo propuštanje eBaya Kršenje podataka na eBayu: Što trebate znati Čitaj više i Ciljajte gubitak 40 milijuna kreditnih kartica Cilj potvrđuje do 40 milijuna američkih kreditnih kartica potencijalno hakiranihTarget je upravo potvrdio da je hack mogao donijeti ugrožavanje podataka o kreditnoj kartici 40 milijuna kupaca koji su se našli u američkim trgovinama između 27. i 15. prosinca 2007. godine 2013. Čitaj više tada možemo vidjeti da se čini da u najboljem slučaju postoji neznanje, u najgorem slučaju krajnje saučešće prema internetskoj sigurnosti.

Uzmimo za primjer odgovor Moonpig-a na vijesti:

Svjesni smo podataka o zahtjevima za kupcima i možemo potvrditi da su sve informacije o zaporkama i uplatama uvijek i na sigurnom mjestu.

- Tombpig?? (@MoonpigUK) 6. siječnja 2015

Ovaj pokušaj ograničavanja štete odmah je pozvan:

.@MoonpigUK Osim imena, datum isteka i posljednje 4 znamenke koje su dostupne jednostavno putem vašeg API-ja više od 17 mjeseci... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6. siječnja 2015

Na stranu katastrofa u odnosima s javnošću, naglašava se nemogućnost Moonpig-a da se blagovremeno pozabavi tim problemom važnost redovitog provođenja testova prodora na web stranice s kojima se suočava Internet, kao i reagiranja na sigurnost savjet odmah.

Kako kupci mogu iskoristiti sigurnosne ranjivosti

Nije jasno jesu li neki podaci ukradeni od Moonpig-a putem ove ranjivosti, a na temelju njihovih nastojanja na ograničavanju štete do sada vjerojatno ne bi dijelili informacije čak i da su ih imali.

Beskrajni problemi sa mrežnom sigurnošću kupovine u protekla 24 mjeseca ili tako su počeli potkopati povjerenje u industriju. Iako se eBay u ovoj fazi malo predaje (na primjer (i nikad nije potvrdio kako su hakirani njihovi podaci), to je stvar Izuzetan nagon za besplatnim popisima i ostalim bonusima sredinom 2014. sugerira da je puno korisnika ostalo daleko.

Osim pokretanja civilnih tužbi protiv ovih tvrtki, jedini stvarni koraci koje kupci mogu poduzeti protiv grube zlouporabe i nesigurnosti svojih podataka. (a ako ste korisnik Moonpig.com-a, vrijedno je provjeriti ima li obećanja o sigurnosti podataka u izvornim uvjetima i odredbama) glasati sa njihovim novčanike.

S eksplozijom u kurirskim službama i isporukom dronova, ogromnim skladištima po cijeloj zemlji i velikim isporukama, Amazon dokazuje kako ispunjavati narudžbe kupaca i čuvati podatke (do sada). Druge bi tvrtke trebale koristiti Amazon kao primjer, a ne grubi predložak za pokušaj oponašanja. Ako to ne učinite, može doći samo do kraja kupnje putem interneta - ili potpune dominacije Amazona.

Samo poduzimanjem koraka za kupnju drugdje možemo imati koristi od internetskih trgovina koje shvataju ozbiljno njihove odgovornosti.

Nemojte prestati s kupnjom putem interneta: Samo kupujte pametnije

U proteklih nekoliko godina vidjeli smo predaleko puno hakiranih imena. Ali, ovi napadi i kasnije curenje podataka ne znače da morate ostati klijent. Zapravo biste trebali učiniti suprotno i umjesto toga krenuti prema sigurnijim konkurentima ili kupovati lokalno. Ako ste uhvaćeni i kupujete na hakiranom mjestu, možda biste i vi razmotrite ove alternativne mogućnosti Možete li kupovati kod hakiranja? Evo što treba učiniti Čitaj više .

Naravno, možda ćete imati bolje rješenje. Zato ih upotrijebite u komentarima i bilo koje srodne priče koje imate.

Kreditna slika: Kupovanje putem interneta putem Shutterstocka