Loja de cartões de felicitações on-line Moonpig expôs dados de clientes a hackers por pelo menos 15 meses, apesar dos avisos de um especialista de que havia um buraco que precisava ser conectado.
Existem várias lições aqui. O primeiro: a arrogância corporativa é perigosa. Segundo: é importante que os clientes se instruam e garantam que as empresas estejam trabalhando para mantê-los seguros. E o terceiro: um “nome conhecido” não é necessariamente um nome seguro.
Moonpig é uma loja de cartão de saudações on-line que vende cartões personalizados e canecas através de seu site. Extremamente popular (graças à publicidade regular na TV), o Moonpig vendeu 6 milhões de cartões no Reino Unido em 2007. Enquanto um site britânico (baseado em Londres e na Ilha de Guernsey), essa é uma situação que afeta compradores e donos de lojas on-line. o mundo.
O Moonpig Hack: O que aconteceu?
Em 2013, o desenvolvedor Paul Price descobriu que as solicitações de API móvel no site Moonpig.com podiam ser invadidas, permitindo que hackers criminosos fizessem pedidos em qualquer conta. Além disso, dados como nomes de clientes, data de nascimento, endereço, vencimentos de cartões de crédito e os últimos quatro dígitos do cartão podem ser visualizados.
Sites que oferecem compras on-line geralmente fornecem limitadores de taxa que reduzem o impacto de scripts automatizados, mas o Moonpig omitiu isso, tornando-o um alvo fácil e aberto para hackers.
Inicialmente informado pela Price da vulnerabilidade em meados de 2013, Moonpig afirmou que eles iriam consertar isso imediatamente; 18 meses depois, a vulnerabilidade permaneceu.
Disse Price quando publicou detalhes da vulnerabilidade on-line:
“Eu vi algumas medidas de segurança meio arsed no meu tempo, mas isso só leva o biscoito. Quem arquitetar este sistema precisa ser afogado. Cada solicitação de API é assim: não há autenticação e você pode passar qualquer ID de cliente para representá-los. Um invasor pode facilmente fazer pedidos em contas de outros clientes, adicionar ou recuperar informações de cartões, ver endereços salvos, ver pedidos e muito mais. ”
Essencialmente, a autenticação básica estava sendo usada e os dados da conta revelados sem verificações de autenticação.
Price decidiu ir a público com o hack depois que Moonpig respondeu ao seu contato de acompanhamento em setembro de 2014 para ter a correção em vigor até o Natal. Quando ele revelou tudo em 5 de janeiro, ainda tinha que ser conectado.
Reação do Moonpig ao Hack
A lição desta história não é tanto sobre o hack - eles estão acontecendo cada vez mais na indústria de compras online - mas sobre a atitude da empresa e o que isso significa para os consumidores.
Se considerarmos o volume de hacks ao longo dos últimos dois anos, como o vazamento ainda inexplicável do eBay A violação de dados do eBay: o que você precisa saber A violação de dados do eBay: o que você precisa saber Leia mais e segmente perdendo 40 milhões de cartões de crédito Meta confirma até 40 milhões de clientes dos EUA Cartões de crédito alvo potencialmente hackeado confirma até 40 milhões de clientes dos EUA Cartões de crédito potencialmente hackeados A Target acaba de confirmar que um hack poderia ter comprometido as informações do cartão de crédito de até 40 milhões de clientes que compraram nos EUA lojas entre 27 de novembro e 15 de dezembro de 2013. Leia Mais, então podemos ver que parece haver, na melhor das hipóteses, uma ignorância, na pior das hipóteses complacência, em relação à segurança online.
Veja, por exemplo, a resposta do Moonpig às notícias:
Estamos cientes das reclamações relativas a dados de clientes e podemos confirmar que todas as informações de senha e pagamento são e sempre foram seguras.
- Moonpig (@MoonpigUK) 6 de janeiro de 2015
Esta tentativa de limitação de danos foi imediatamente anunciada:
@ MoonpigUK Realmente? Essa é a sua estratégia para lidar com o fato de ser chamado por sua negligência? Mentir sobre isso?
- Chris Ward (@christopherward) 6 de janeiro de 2015
@ MoonpigUK Para além dos nomes, datas de expiração e últimos 4 dígitos que foram acessíveis simplesmente através da sua API há mais de 17 meses… @Charlotteis
- James Seymour-Lock (@JamesSLock) 6 de janeiro de 2015
Desastre de relações públicas à parte, a incapacidade da Moonpig de lidar com a questão de maneira oportuna destaca a importância de testes de penetração em execução regular em sites voltados para a Internet, bem como responder prontamente a alertas de segurança.
Como os clientes podem se beneficiar das vulnerabilidades de segurança
Não está claro se algum dado foi roubado do Moonpig por meio dessa vulnerabilidade e, com base em seus esforços de limitação de danos, até agora eles provavelmente não compartilhariam as informações, mesmo que tivessem.
Os infindáveis problemas com a segurança das compras online nos últimos 24 meses começaram a minar a confiança na indústria. Embora o eBay esteja dando pouco destaque nesta fase, por exemplo (e nunca confirmou como seus dados foram hackeados), é notável a busca por listagens gratuitas e outros bônus durante meados de 2014, o que sugere que muitos usuários ficaram longe.
Além de iniciar ações civis contra essas empresas, os únicos passos reais que os clientes podem dar contra o flagrante uso indevido e inseguro de seus dados (e se você é um cliente Moonpig.com, vale a pena verificar quaisquer promessas de segurança de dados nos termos originais e condições) é votar com suas carteiras.
Com a explosão nos serviços de courier e entregas de drones, vastos armazéns em todo o país e vastas entregas, a Amazon está provando como atender aos pedidos dos clientes e manter seus dados seguros (até agora). Outras empresas devem usar a Amazon como exemplo, em vez de um modelo aproximado para tentar imitar. Não fazer isso só pode resultar no fim das compras online - ou no domínio total da Amazon.
Somente tomando medidas para comprar em outro lugar, podemos nos beneficiar das lojas on-line levando suas responsabilidades a sério.
Não pare de fazer compras on-line ainda: apenas compre mais inteligente
Nos últimos anos, vimos muitos nomes grandes hackeados. Mas essas intrusões e os vazamentos de dados subsequentes não significam que você precise permanecer como cliente. Na verdade, você deve fazer o oposto e ir para os concorrentes mais seguros, ou fazer compras localmente. Se você for pego e comprar em um site que é invadido, você também pode considerar essas opções alternativas. Aqui está o que fazer loja você compra no hackeado? Aqui está o que fazer Leia mais.
Claro, você pode ter uma solução melhor. Portanto, use os comentários para compartilhá-lo e quaisquer histórias relacionadas que você possa ter.
Crédito da Imagem: Compras on-line via Shutterstock