Varnostne napake poudarjajo pomen glasovanja s svojo denarnico

Oglas

Spletna trgovina z voščilnicami Moonpig je najmanj 15 mesecev izpostavila podatke o kupcih hekerjem, kljub opozorilom strokovnjaka, da je treba luknjo zatakniti.

Tu je več lekcij. Prvi: podjetniška aroganca je nevarna. Drugič: za stranke je pomembno, da se izobražujejo in poskrbijo, da bodo podjetja delovala na varnem. In tretjič: "znano ime" ni nujno varno.

Moonpig je spletna trgovina z voščilnicami, ki prek svojih spletnih strani prodaja kartice, izdelane po meri. Zelo priljubljen (zahvaljujoč rednemu TV oglaševanju) je Moonpig leta 2007 v Veliko Britanijo poslal 6 milijonov kartic. Medtem ko je britansko spletno mesto (s sedežem v Londonu in Kanalskem otoku Guernsey), to stanje vpliva na kupce in lastnike spletnih trgovin po vsem svetu.

Hack Moonpig: Kaj se je zgodilo?

Leta 2013 je razvijalec Paul Price odkril, da je mogoče prošnje za API za mobilne naprave na spletnem mestu Moonpig.com vdreti in s tem kriminalnim hekerjem omogočiti oddajo naročil na kateri koli račun. Poleg tega si lahko ogledate podatke, kot so imena strank, datum rojstva, naslov, potekla kreditna kartica in zadnje štiri številke kartice.

Spletna mesta, ki ponujajo spletno nakupovanje, ponavadi ponujajo omejevalnike stopenj, ki zmanjšujejo vpliv samodejnih skriptov, vendar je Moonpig to izpustil, zaradi česar je hekerjem lahka in odprta tarča.

Moonpig je prvotno obvestil o ranljivosti sredi leta 2013, trdil je, da ga bodo odpravili takoj; 18 mesecev kasneje je ranljivost ostala.

Je rekel Price, ko je objavili podrobnosti o ranljivosti na spletu:

"Včasih sem videl nekaj napol previdnih varnostnih ukrepov, vendar je to samo piškotek. Kdor je arhitekt tega sistema, mora biti na morju. Vsaka zahteva API-ja je takšna: sploh ni nobene avtentikacije in lahko vnesete kateri koli ID stranke, da se lažno predstavljate. Napadalec lahko zlahka odda naročila v račune drugih strank, doda ali naloži podatke s kartice, si ogleda shranjene naslove, ogleda naročila in še veliko več. "

V bistvu se uporablja osnovna avtentikacija in podatki o računih razkriti brez preverjanja pristnosti.

Price se je odločil, da bo s krampom javno obiskal, potem ko se je Moonpig septembra 2014 odzval na nadaljnji stik, da bi ga do božiča odpravil. Ko je 5. januarja razkril vse^th, ga še ni bilo treba priključiti.

Odziv Moonpig-a na kramp

Nauk te zgodbe ni toliko v krampanju - čedalje bolj se dogajajo v industriji spletnih nakupov - ampak o odnosu podjetja in kaj to pomeni za potrošnike.

Če upoštevamo količino kramp v zadnjih nekaj letih, kot je še vedno nepojasnjeno puščanje eBaya Kršitev podatkov eBay: Kaj morate vedeti Preberi več in Ciljajte na izgubo 40 milijonov kreditnih kartic Cilj potrdi do 40 milijonov kreditnih kartic za stranke, ki so potencialno zloženeTarget je pravkar potrdil, da bi kramp lahko ogrožal podatke kreditne kartice do 40 milijonov kupcev, ki so se nakupovali v njenih ameriških trgovinah med 27. novembrom in 15. decembrom 2007 2013. Preberi več potem lahko vidimo, da se zdi, da je v najboljšem primeru neznanje, v najslabšem primeru ustrežljivo do spletne varnosti.

Vzemimo za primer odgovor Moonpig na novice:

Zavedamo se zahtevkov v zvezi s podatki o strankah in lahko potrdimo, da so vsi podatki o geslu in plačilu vedno in varni.

- Tombpig?? (@MoonpigUK) 6. januar 2015

Ta poskus omejitve škode je bil takoj razpisan:

.@MoonpigUK Poleg imen, datumov izteka veljavnosti in zadnjih štirih številk, ki so dostopne preprosto prek vašega API-ja že več kot 17 mesecev… @Charlotteis

- James Seymour-Lock (@JamesSLock) 6. januar 2015

Razplet odnosov z javnostmi ob strani, poudarja, da Moonpig ne more pravočasno rešiti vprašanja pomembnost rednih preizkusov penetracije na spletnih straneh, s katerimi se soočajo, in odzivanja na varnost svetovanje takoj.

Kako lahko stranke izkoristijo varnostne ranljivosti

Ni jasno, če so bili s Moonpig-a prek te ranljivosti ukradeni kakršni koli podatki, in na podlagi njihovih prizadevanj za omejevanje škode doslej verjetno ne bi delili informacij, tudi če bi jih imeli.

Neskončne težave z varnostjo spletnega nakupovanja v zadnjih 24 mesecih ali tako so začele spodkopati zaupanje v panogo. Čeprav se eBay v tej fazi malo preda, na primer (in nikoli ni potrdil, kako so bili vdrti njihovi podatki), je to resnično izjemen nagon k brezplačnim objavam in drugim bonusom sredi leta 2014 kaže, da je veliko uporabnikov ostalo proč.

Razen sprožitve civilnih tožb zoper ta podjetja so edini resnični koraki, ki jih lahko storijo stranke proti očitni zlorabi in negotovosti njihovih podatkov. (in če ste kupec Moonpig.com, je vredno preveriti, ali so v vaših prvotnih pogojih obljube o varnosti podatkov) glasovati z njihovimi denarnice.

Z eksplozijo v kurirskih storitvah in dobavo dronov, obsežnimi skladišči po vsej državi in ​​velikimi dobavami Amazon dokazuje, kako izpolniti naročila strank in njihove podatke varovati (do zdaj). Druga podjetja bi morala kot primer uporabljati Amazon, ne pa grobo predlogo, da bi poskušala posnemati. Če tega ne storite, lahko pride le do konca spletnega nakupovanja - ali popolne prevlade Amazona.

Le s sprejetjem korakov za nakupovanje drugje lahko koristimo, da spletne trgovine resno prevzamejo svoje odgovornosti.

Ne zapuščaj spletnega nakupovanja: Samo nakupuj pametneje

V zadnjih nekaj letih smo videli veliko preveč imenitnih imen. Toda ti vdori in kasnejše puščanje podatkov ne pomenijo, da morate ostati stranka. Dejansko bi morali storiti nasprotno in se namesto tega odpraviti k varnejšim tekmecem ali nakupovati lokalno. Če vas ujamejo in nakupujete na strani, ki je vlomljena, boste morda tudi vi razmislite o teh alternativnih možnostih Ali shranjujete pri nakupu? Tukaj je, kaj storiti Preberi več .

Seveda bi morda imeli boljšo rešitev. Zato jih delite s komentarji in morebitne povezane zgodbe.

Kreditna slika: Nakupovanje prek spleta prek Shutterstocka