Turvavead rõhutavad rahakotiga hääletamise olulisust

Reklaam

Veebipõhises õnnitluskaardipoes paljastas Moonpig häkkerite kliendi andmeid vähemalt 15 kuu jooksul, hoolimata eksperdi hoiatustest, et pistiku jaoks on vaja ava teha.

Siin on mitu tundi. Esimene: ettevõtete ülbus on ohtlik. Teiseks: klientide jaoks on oluline end harida ja veenduda, et ettevõtted töötaksid nende turvalisuse nimel. Ja kolmas: tuntud nimi ei ole tingimata ohutu.

Moonpig on veebipõhine õnnitluskaartide pood, mis müüb eritellimusel kujundatud kaarte ja kruuse oma veebisaidi kaudu. Ülimalt populaarne (tänu regulaarsele telereklaamile) saatis Moonpig 2007. aastal Suurbritannias 6 miljonit kaarti. Kuigi Briti sait (asub Londonis ja Guernsey kanalisaarel), mõjutab see olukorda ostjaid ja veebipoodide omanikke kogu maailmas.

Kuupagari häkk: mis juhtus?

Arendaja Paul Price avastas juba 2013. aastal, et Mobiili API taotlusi veebisaidil Moonpig.com võib häkkida, võimaldades seeläbi kuritegelikel häkkeritel tellimusi esitada mis tahes kontole. Lisaks võiks vaadata selliseid andmeid nagu klientide nimed, sünniaeg, aadress, krediitkaardi kehtivusaeg ja kaardi neli viimast numbrit.

Veebisaidid, mis pakuvad veebikaubandust, pakuvad tavaliselt kiirusepiiranguid, mis vähendavad automatiseeritud skriptide mõju, kuid Moonpig jättis selle tegemata, muutes selle häkkerite jaoks lihtsaks ja avatud sihtmärgiks.

Hind teatas algselt haavatavusest 2013. aasta keskel, väitis Moonpig, et nad parandavad selle kohe; 18 kuud hiljem jäi haavatavus püsima.

Ütles Hind, kui ta avaldatud üksikasjad haavatavuse kohta võrgus:

„Olen ​​omal ajal näinud pooleldi turvatud turvameetmeid, kuid see võtab lihtsalt küpsise. Kes iganes selle süsteemi arhitektiks peab, peab saama vesilaeva. Iga API taotlus on selline: autentimist ei toimu üldse ja te saate selle esinemiseks sisestada mis tahes kliendi ID. Ründaja sai hõlpsalt teha tellimusi teiste klientide kontodele, lisada või hankida kaarditeavet, vaadata salvestatud aadresse, vaadata tellimusi ja palju muud. ”

Põhimõtteliselt kasutati põhilist autentimist ja konto andmed avalikustati ilma autentimiskontrollideta.

Hind otsustas hakata häkkeritega avalikuks minema pärast seda, kui Moonpig vastas tema järelkontaktile 2014. aasta septembris, et parandus jõuludeks paika saada. Kui ta kõik 5. jaanuaril paljastas^th, see polnud veel ühendatud.

Moonpigi reaktsioon häkkida

Selle loo õppetund ei seisne mitte niivõrd häkkimises - neid toimub üha enam veebipoes -, vaid ka ettevõtte suhtumises ja mida see tähendab tarbijatele.

Kui arvestada häkkimiste mahtu viimase paari aasta jooksul, näiteks endiselt seletamatu eBay leke EBay andmete rikkumine: mida peate teadma Loe rohkem ja Sihiks kaotada 40 miljonit krediitkaarti Siht kinnitab kuni 40 miljonit USA klienti, kes on potentsiaalselt häkkinud krediitkaardidTarget kinnitas äsja, et häkkimine võis krediitkaarditeavet kahjustada kuni 40 miljonit klienti, kes on ostnud USA kauplustes ajavahemikus 27. november - 15. detsember 2007 2013. Loe rohkem siis näeme, et parimal juhul näib veebiturvalisuse osas olevat teadmatus või halvimal juhul täielik rahulolu.

Võtame näiteks Moonpigi vastuse uudistele:

Oleme kliendi andmetega seotud pretensioonidest teadlikud ja võime kinnitada, et kogu parooli- ja makseteave on ja on alati olnud turvaline.

- hauakamber?? (@MoonpigUK) 6. jaanuar 2015

See kahju piiramise katse kutsuti kohe välja:

.@MoonpigUK Peale nimede, aegumiskuupäevade ja nelja viimase numbri, millele on üle 17 kuu olnud juurdepääs lihtsalt teie API kaudu... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6. jaanuar 2015

Avalike suhete katastroof kõrvale heidab Moonpigi suutmatus seda küsimust õigeaegselt lahendada Interneti-põhistel veebisaitidel regulaarsete jooksutestide, aga ka turvalisusele reageerimise tähtsus nõuanded kohe.

Kuidas saavad kliendid kasu turvanõrkustest

Pole selge, kas Moonpigilt varastati selle haavatavuse kaudu mingeid andmeid ning tuginedes seni tehtud kahju piiramise jõupingutustele, ei jagaks nad tõenäoliselt teavet isegi siis, kui neil see oleks.

Viimase 24 kuu jooksul on lõputud veebikaubanduse turvalisusega seotud probleemid hakanud õõnestama usaldust selle tööstuse vastu. Ehkki eBay annab selles etapis näiteks vähe ära (ega ole kunagi kinnitanud, kuidas nende andmeid häkkiti), on see nii märkimisväärne püüdlus tasuta nimekirjade ja muude boonuste poole 2014. aasta keskel näitas, et palju kasutajaid jäi alles ära.

Kui nende ettevõtete vastu ei algatata tsiviilhagisid, on kliendid ainsad tõelised sammud oma andmete räige kuritarvitamise ja ebakindluse vastu. (ja kui olete Moonpig.com klient, tasub kontrollida, kas teil on lubadusi andmeturbe kohta teie algsetes tingimustes) - hääletada nende rahakotid.

Plahvatuslikult kullerteenuste ja droonide kohaletoimetamise, kogu riigi suurte ladude ja ulatuslike tarnetega tõestab Amazon, kuidas täita klientide tellimusi ja hoida nende andmeid turvalisena (seni). Teised ettevõtted peaksid jäljendamise katsetamiseks kasutama näitena pigem Amazoni kui jämedat malli. Selle tegemata jätmine võib lõppeda vaid veebikaubanduse lõppemisega - või Amazoni täieliku domineerimisega.

Ainult mujalt sisseoste tehes saame kasu sellest, kui veebipoed võtavad nende kohustusi tõsiselt.

Ärge siiski Internetist ostmist lõpetage: ostke lihtsalt targemini

Viimase paari aasta jooksul oleme hakanud liiga palju suuri nimesid häkkima. Kuid need sissetungid ja sellele järgnenud andmete lekked ei tähenda, et peate jääma kliendiks. Tegelikult peaksite toimima vastupidiselt ja suunduma kindlamate konkurentide poole või ostma selle asemel kohapeal. Kui olete kinni sattunud ja poes käinud häkitud saidil, võite ka seda teha kaaluge neid alternatiivseid võimalusi Hoiate kaupluses, kus olete häkkinud? Siit saate teada, mida teha Loe rohkem .

Muidugi võib teil olla parem lahendus. Nii et kasutage selle jagamiseks kommentaare ja kõiki seotud lugusid.

Kujutise krediit: Sisseostud Shutterstocki kaudu