Der Onlinegrüßkartenladen Moonpig hat Kundendaten mindestens 15 Monate lang an Hacker weitergegeben, obwohl ein Experte gewarnt hatte, dass ein Loch gesteckt werden musste.
Es gibt mehrere Lektionen hier. Das erste: korporative Arroganz ist gefährlich. Zweitens: Es ist wichtig, dass die Kunden sich selbst weiterbilden und sicherstellen, dass Unternehmen daran arbeiten, sie zu schützen. Und der dritte: Ein "bekannter Name" ist nicht unbedingt ein sicherer.
Moonpig ist ein Online-Grußkartengeschäft, das über seine Website individuell gestaltete Karten und Tassen verkauft. Sehr beliebt (dank regelmäßiger TV-Werbung) hat Moonpig im Jahr 2007 in Großbritannien 6 Millionen Karten verschickt. Während eine britische Seite (mit Sitz in London und der Kanalinsel Guernsey) eine Situation darstellt, die Käufer und Online-Shop-Besitzer betrifft die Welt.
Der Moonpig Hack: Was ist passiert?
Bereits im Jahr 2013 entdeckte der Entwickler Paul Price, dass mobile API-Anfragen auf der Moonpig.com-Website gehackt werden könnten, was es kriminellen Hackern ermöglicht, Bestellungen auf jedem Konto zu platzieren. Zusätzlich können Daten wie Kundennamen, Geburtsdatum, Adresse, Kreditkartenablauf und die letzten vier Ziffern der Karte angezeigt werden.
Websites, die Online-Shopping anbieten, bieten in der Regel Ratenbegrenzer, die die Auswirkungen von automatisierten Skripten reduzieren, aber Moonpig verzichtet darauf, dies zu tun, was es zu einem einfachen, offenen Ziel für Hacker macht.
Nachdem Moonpig anfänglich von Price über die Sicherheitslücke Mitte 2013 informiert worden war, behaupteten sie, dass sie es sofort beheben würden. 18 Monate später blieb die Schwachstelle bestehen.
Said Price, als er Details der Sicherheitslücke online veröffentlichte:
"Ich habe in meiner Zeit einige halbherzige Sicherheitsmaßnahmen gesehen, aber das dauert nur den Keks. Wer auch immer dieses System baut, muss mit Wasser befüllt werden. Jede API-Anfrage ist wie folgt: Es gibt überhaupt keine Authentifizierung und Sie können eine beliebige Kunden-ID eingeben, um sie zu imitieren. Ein Angreifer kann leicht Bestellungen auf andere Kundenkonten aufgeben, Karteninformationen hinzufügen oder abrufen, gespeicherte Adressen anzeigen, Bestellungen anzeigen und vieles mehr. "
Im Wesentlichen wurde die Basisauthentifizierung verwendet und die Kontodaten wurden ohne Authentifizierungsprüfungen offengelegt.
Price entschied sich, mit dem Hack an die Öffentlichkeit zu gehen, nachdem Moonpig im September 2014 auf seinen Follow-up-Kontakt geantwortet hatte, um den Fix zu Weihnachten zu haben. Als er am 5. Januar alles bekannt gab, musste es noch verschlossen werden.
Moonpigs Reaktion auf den Hack
Die Lektion dieser Geschichte handelt nicht so sehr von dem Hack - sie passiert mehr und mehr in der Online-Shopping-Branche - sondern von der Einstellung des Unternehmens und was das für den Konsumenten bedeutet.
Wenn wir die Menge der Hacks in den letzten paar Jahren betrachten, wie zum Beispiel immer noch ungeklärte eBay-Leck Die eBay Data Breach: Was Sie wissen müssen Die eBay Data Breach: Was Sie wissen müssen Lesen Sie mehr und Ziel verlieren 40 Millionen Kreditkarten Ziel bestätigt bis zu 40 Millionen US-Kunden Kreditkarten potenziell gehackt Ziel bestätigt bis zu 40 Millionen US-Kunden Kreditkarten potenziell gehackt Ziel hat gerade bestätigt, dass ein Hack die Kreditkartendaten für bis zu 40 Millionen Kunden, die in den USA eingekauft haben, kompromittiert haben könnte Geschäfte zwischen dem 27. November und dem 15. Dezember 2013. Lesen Sie mehr, dann können wir sehen, dass es im besten Fall eine Ignoranz, im schlimmsten Fall völlige Selbstzufriedenheit, in Richtung Online-Sicherheit scheint.
Nehmen Sie zum Beispiel die Moonpig-Antwort auf die Nachrichten:
Uns sind Ansprüche auf Kundendaten bekannt und wir können bestätigen, dass alle Passwort- und Zahlungsinformationen stets sicher sind und waren.
- Moonpig (@MoonpigUK) 6. Januar 2015
Dieser Versuch der Schadensbegrenzung wurde sofort ausgerufen:
. @ MoonpigUK Wirklich? Das ist Ihre Strategie, um mit Ihrer Nachlässigkeit konfrontiert zu werden? Lüge darüber?
- Chris Ward (@ Christopherward) 6. Januar 2015
. @ MoonpigUK Abgesehen von Namen, Verfallsdaten und den letzten 4 Ziffern, die seit über 17 Monaten einfach über Ihre API zugänglich sind ... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6. Januar 2015
Abgesehen von der Tatsache, dass es sich um eine PR-Katastrophe handelt, unterstreicht die Unfähigkeit von Moonpig, das Problem zeitnah zu beheben, die Wichtigkeit regelmäßiger Penetrationstests auf Internet-Websites sowie die sofortige Reaktion auf Sicherheitsmitteilungen.
Wie Kunden von Sicherheitslücken profitieren können
Es ist nicht klar, ob irgendwelche Daten von Moonpig über diese Sicherheitslücke gestohlen wurden und aufgrund ihrer Bemühungen zur Schadensbegrenzung würden sie die Informationen wahrscheinlich nicht teilen, selbst wenn sie diese hätten.
Die endlosen Probleme mit Online-Shopping-Sicherheit in den letzten 24 Monaten oder so haben begonnen, das Vertrauen in die Branche zu untergraben. Während eBay in diesem Stadium zum Beispiel wenig verschenkt (und nie bestätigt hat, wie seine Daten gehackt wurden), ist es ein bemerkenswerter Schritt in Richtung kostenloser Angebote und anderer Boni Mitte 2014, die darauf hindeuten, dass viele Nutzer weggeblieben sind.
Abgesehen von zivilrechtlichen Schritten gegen diese Unternehmen sind die einzigen Schritte, die Kunden gegen den eklatanten Missbrauch und die Unsicherheit ihrer Daten unternehmen können (und wenn Sie ein Kunde von Moonpig.com sind, sollten Sie Ihre Versprechen bezüglich der Datensicherheit in Ihren ursprünglichen Bedingungen prüfen Bedingungen) ist, mit ihren Brieftaschen zu wählen.
Mit der Explosion von Kurierdiensten und Drohnenlieferungen, riesigen Lagerhäusern im ganzen Land und umfangreichen Lieferungen beweist Amazon, wie man Kundenaufträge erfüllt und ihre Daten (bisher) sicher aufbewahrt. Andere Unternehmen sollten Amazon als Beispiel verwenden, anstatt eine grobe Vorlage zu versuchen, nachzuahmen. Wenn Sie dies nicht tun, kann dies nur das Ende des Online-Shoppings oder die totale Dominanz von Amazon zur Folge haben.
Nur wenn wir Schritte unternehmen, um anderswo einzukaufen, können wir davon profitieren, dass Onlineshops ihre Verantwortung ernst nehmen.
Beenden Sie noch nicht Online-Shopping: Laden Sie einfach Smarter
In den letzten Jahren haben wir viel zu viele große Namen gehackt gesehen. Aber diese Eingriffe und die nachfolgenden Datenlecks bedeuten nicht, dass Sie Kunde bleiben müssen. In der Tat sollten Sie das Gegenteil tun und sich für die sicherere Konkurrenz entscheiden oder stattdessen lokal einkaufen. Wenn Sie auf einer gehackten Website erwischt werden, können Sie auch diese alternativen Optionen in Betracht ziehen. Shop Sie kaufen bei Get Hacked? Hier ist, was Sie tun müssen Shop Shop bei Get Hacked? Hier ist, was zu tun ist Lesen Sie mehr.
Natürlich könnten Sie eine bessere Lösung haben. Nutze die Kommentare, um sie zu teilen und alle damit verbundenen Geschichten.
Bildquelle: Online einkaufen über Shutterstock