Startseite Bezpečnostní Selhání zabezpečení zvýrazňují důležitost hlasování s vaší peněženkou

Selhání zabezpečení zvýrazňují důležitost hlasování s vaší peněženkou

  • Gabriel Brooks
  • 1
  • 3554
  • 324
reklama

Internetový obchod s pozdravy Moonpig vystavil zákaznická data hackerům po dobu nejméně 15 měsíců, a to i přes varování odborníka, že existuje díra, kterou je třeba zapojit.

Je zde několik lekcí. První: firemní arogance je nebezpečná. Za druhé: je důležité, aby se zákazníci sami vzdělávali a zajistili, aby společnosti pracovaly na jejich zajištění. A třetí: “známé jméno” nemusí být nutně bezpečný.

Moonpig je online obchod s pozdravy, který prostřednictvím svých webových stránek prodává karty a hrnky na míru. Moonpig byl v roce 2007 ve Velké Británii velmi populární (díky pravidelné televizní reklamě). Ve Velké Británii v roce 2007 dodal 6 milionů karet. Zatímco britské stránky (se sídlem v Londýně a na Channel Islandu v Guernsey), toto je situace, která ovlivňuje nakupující a majitele online obchodu v okolí svět.

Moonpig Hack: Co se stalo?

V roce 2013 vývojář Paul Price zjistil, že požadavky na mobilní API na webu Moonpig.com by mohly být napadeny hackery, což umožňuje zločinným hackerům zadávat objednávky na libovolný účet. Kromě toho bylo možné zobrazit data, jako jsou jména zákazníků, datum narození, adresa, vypršení platnosti kreditní karty a poslední čtyři číslice karty.

Webové stránky, které nabízejí online nakupování, obvykle poskytují omezovače sazeb, které snižují dopad automatizovaných skriptů, ale Moonpig to vynechal, což je pro hackery snadným a otevřeným cílem..

Společnost Moonpig byla původně informována společností Price o zranitelnosti v polovině roku 2013 a tvrdila, že ji ihned opraví; O 18 měsíců později zranitelnost zůstala.

Uvedl cenu, když zveřejnil podrobnosti o zranitelnosti online:

“Ve své době jsem viděl nějaká poloviční artefaktní bezpečnostní opatření, ale to jen biskupství. Kdokoli architekt tohoto systému musí být zatmelen. Každý požadavek na rozhraní API je následující: neexistuje žádná autentizace a můžete předat jakékoli ID zákazníka a vydat se za ně. Útočník by mohl snadno zadávat objednávky na jiných zákaznických účtech, přidávat nebo získávat informace o kartách, prohlížet uložené adresy, zobrazovat objednávky a mnoho dalšího.”

V zásadě bylo používáno základní ověřování a data účtů byla odhalena bez ověření autentizace.

Cena se rozhodla zveřejnit tento hack poté, co Moonpig reagoval na svůj následný kontakt v září 2014, aby oprava proběhla do Vánoc. Když všechno odhalil 5. lednatis, ještě to nebylo nutné zapojit.

Moonpigova reakce na hack

Lekce tohoto příběhu se tolik netýká hacků - dělají se stále častěji v online nakupování - ale o postoji společnosti a co to pro spotřebitele znamená.

Pokud vezmeme v úvahu množství hackerů za posledních pár let, jako je například dosud nevysvětlený únik eBay, porušení eBay: porušení, co potřebujete vědět, porušení eBay, porušení: co potřebujete vědět a zacílení, ztráta 40 milionů kreditních karet Potenciálně hacknutý cíl potvrzuje až 40 milionů amerických zákazníků kreditní karty Potenciálně napadený cíl až 40 milionů amerických zákazníků právě potvrdil, že hack mohl narušit informace o kreditní kartě až pro 40 milionů zákazníků, kteří nakupovali ve svých amerických obchodech mezi 27. listopadu a 15. prosince 2013. pak můžeme vidět, že se zdá být přinejlepším nevědomost, v nejhorším naprostém uspokojení, vůči online bezpečnosti.

Vezměte například odpověď Moonpig na zprávy:

Jsme si vědomi reklamací údajů o zákaznících a můžeme potvrdit, že všechna hesla a platební údaje jsou a vždy byla v bezpečí.

- Tombpig ?? (@MoonpigUK) 6. ledna 2015

Tento pokus o omezení poškození byl okamžitě vyvolán:

.@MoonpigUK Kromě jmen, dat expirace a posledních 4 číslic, které byly přístupné jednoduše přes vaše API po dobu více než 17 měsíců… @Charlotteis

- James Seymour-Lock (@ JamesSLock) 6. ledna 2015

Kromě Public Relations katastrofa, neschopnost Moonpig řešit tento problém včas zdůrazňuje, že je důležité pravidelně provádět penetrační testy na internetových stránkách, které čelí, a také včas reagovat na bezpečnostní doporučení.

Jak mohou zákazníci těžit z bezpečnostních chyb

Není jasné, zda byla prostřednictvím této zranitelnosti ukradena některá data z Moonpig, a na základě jejich úsilí o omezení poškození by pravděpodobně tyto informace nesdílili, i kdyby je měli.

Nekonečné problémy se zabezpečením online nakupování za posledních 24 měsíců začaly podkopávat důvěru v dané odvětví. Zatímco eBay v této fázi rozdává málo, například (a nikdy nepotvrdil, jak byla jejich data hacknuta), je to pozoruhodný krok směrem k bezplatným výpisům a dalším bonusům v polovině roku 2014, ale mnoho uživatelů zůstalo daleko.

Bez zahájení občanskoprávní žaloby proti těmto společnostem mohou jediní skuteční kroky, které zákazníci mohou podniknout proti zjevnému zneužití a nejistotě svých dat (a pokud jste zákazníkem Moonpig.com, stojí za to zkontrolovat jakékoli přísliby bezpečnosti dat v původních podmínkách a podmínky) je hlasovat se svými peněženkami.

S explozí kurýrních služeb a dodávek dronů, rozsáhlých skladů po celé zemi a obrovských dodávek Amazon prokazuje, jak plnit objednávky zákazníků a udržovat svá data v bezpečí (dosud). Jiné společnosti by měly používat Amazon jako příklad, spíše než hrubou šablonu, aby se pokusily napodobit. Pokud tak neučiníte, může to mít za následek konec online nakupování - nebo úplnou dominanci Amazonu.

Pouze pokud podniknete kroky k nákupu jinde, můžeme mít z toho, že internetové obchody berou své povinnosti vážně.

Nepřestávejte nakupovat online: Nakupujte chytřeji

Během posledních několika let jsme viděli příliš mnoho hackovaných hackerů. Ale tyto narušení a následné úniky dat neznamenají, že musíte zůstat zákazníkem. Ve skutečnosti byste měli udělat opak a zamířit k bezpečnějším konkurentům nebo místo toho nakupovat na místě. Pokud jste chyceni a nakupujete na webu, který je napaden hackery, můžete také zvážit tyto alternativní možnosti Ukládat, že jste nakupováni, abyste byli hacknuti? Tady je co dělat, jak nakupovat, abyste byli hacknuti? Tady je co dělat .

Samozřejmě můžete mít lepší řešení. Použijte tedy komentáře a sdílejte je a všechny související příběhy, které můžete mít.

Image Credit: Nakupování online přes Shutterstock




Lcahud ([email protected])
07.03.24 11:05
buy atorvastatin cheap <a href="https://lipiws.top/">atorvastatin 10mg pills</a> order atorvastatin without prescription
Jak opravit disk je chráněn proti zápisu USB chyba
Vysvětlená technologie
MBR vs. GPT Které byste měli použít pro SSD?
Vysvětlená technologie
Verizon, AT&T, T-Mobile a Sprint Který mobilní operátor je pro vás nejlepší?
Vysvětlená technologie
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.