Online-winkel voor groetenkaarten Moonpig stelde klantgegevens bloot aan hackers gedurende minstens 15 maanden, ondanks waarschuwingen van een expert dat er een gat was dat moest worden aangesloten.
Er zijn hier meerdere lessen. De eerste: zakelijke arrogantie is gevaarlijk. Ten tweede: het is belangrijk voor klanten om zichzelf te onderwijzen en ervoor te zorgen dat bedrijven eraan werken om ze veilig te houden. En de derde: een 'bekende naam' is niet noodzakelijk een veilige.
Moonpig is een online winkel voor groetenkaarten die via hun website op maat gemaakte kaarten en mokken verkoopt. Enorm populair (dankzij reguliere tv-reclame), Moonpig heeft in 2007 6 miljoen kaarten in het Verenigd Koninkrijk verzonden. Hoewel het een Britse site is (gevestigd in Londen en het Kanaaleiland Guernsey), is dit een situatie die van invloed is op het winkelend publiek en de online winkeleigenaren in de buurt. de wereld.
The Moonpig Hack: What Happened?
In 2013 ontdekte ontwikkelaar Paul Price dat mobiele API-verzoeken op de Moonpig.com-website kunnen worden gehackt, waardoor criminele hackers orders kunnen plaatsen voor elke account. Bovendien kunnen gegevens zoals namen van klanten, geboortedatum, adres, creditcardverloop en de laatste vier cijfers van de kaart worden bekeken.
Websites die online winkelen aanbieden, bieden gewoonlijk snelheidsbeperkende factoren die de impact van geautomatiseerde scripts verminderen, maar Moonpig heeft dit verzuimd, waardoor het een gemakkelijk, open doel voor hackers is.
Oorspronkelijk geïnformeerd door Price over de kwetsbaarheid midden 2013, beweerde Moonpig dat ze het probleem meteen zouden oplossen; 18 maanden later bleef de kwetsbaarheid bestaan.
Said Price toen hij details van de kwetsbaarheid online publiceerde:
"Ik heb in mijn tijd wel een aantal veiligheidsmaatregelen gezien, maar dit neemt gewoon het koekje. Wie dit systeem ontwerpt, moet met water worden bestuurd. Elke API-aanvraag is als volgt: er is helemaal geen verificatie en u kunt elke klant-ID doorgeven om voor hen te imiteren. Een aanvaller kan eenvoudig bestellingen plaatsen op andere klantenaccounts, kaartinformatie toevoegen of ophalen, opgeslagen adressen bekijken, bestellingen bekijken en nog veel meer. "
In wezen werd basisverificatie gebruikt en werden accountgegevens onthuld zonder authenticatiecontroles.
Price besloot om publiek te gaan met de hack nadat Moonpig reageerde op zijn follow-up contact in september 2014 om de oplossing op zijn plaats te krijgen met Kerstmis. Toen hij alles op 5 januari openbaarde, moest deze nog worden aangesloten.
Moonpig's reactie op de hack
De les van dit verhaal gaat niet zozeer over de hack - ze vinden meer en meer plaats in de online-winkelindustrie - maar ook over de houding van het bedrijf en wat dit betekent voor de consument.
Als we kijken naar het aantal hacks van de afgelopen paar jaar, zoals nog steeds onverklaarde eBay-lekken. De eBay-gegevensschending: wat je moet weten De eBay-gegevensschending: wat je moet weten Meer lezen en 40 miljoen creditcards verliezen Doel Bevestigt maximaal 40 miljoen Amerikaanse klanten Creditcards Potentieel gehackt doel Bevestigt maximaal 40 miljoen Amerikaanse klanten Creditcards Potentieel gehackt Target heeft zojuist bevestigd dat een hack de creditcardgegevens heeft gecompromitteerd voor maximaal 40 miljoen klanten die in de VS hebben gewinkeld winkels tussen 27 november en 15 december 2013. Lees Meer dan kunnen we zien dat er op zijn best een onwetendheid, in het slechtste geval uiterste zelfgenoegzaamheid, naar online veiligheid lijkt.
Neem bijvoorbeeld het antwoord van Moonpig op het nieuws:
We zijn ons bewust van claims over klantgegevens en kunnen bevestigen dat alle wachtwoord- en betalingsinformatie veilig is en altijd is geweest.
- Moonpig (@MoonpigUK) 6 januari 2015
Deze poging tot beperking van de schade werd onmiddellijk opgeroepen:
. @ MoonpigUK Echt waar? Dat is jouw strategie voor het omgaan met het geroepen worden over je nalatigheid? Lieg erover?
- Chris Ward (@christopherward) 6 januari 2015
. @ MoonpigUK Behalve namen, vervaldatums & laatste 4 cijfers die eenvoudig toegankelijk zijn via uw API voor meer dan 17 maanden ... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6 januari 2015
Public Relations ramp terzijde, Moonpig's onvermogen om tijdig met het probleem om te gaan, benadrukt het belang van regelmatige doorlopende penetratietests op internetsites, en reageert ook snel op beveiligingswaarschuwingen.
Hoe klanten kunnen profiteren van beveiligingslekken
Het is niet duidelijk of er van Moonpig via dit beveiligingslek gegevens zijn gestolen en op basis van hun schadebeperkingsinspanningen tot nu toe zouden ze de informatie waarschijnlijk niet delen, ook al hadden ze die.
De eindeloze problemen met online veiligheid voor het winkelen in de afgelopen 24 maanden of zo zijn begonnen het vertrouwen in de industrie te ondermijnen. Terwijl eBay in dit stadium weinig weggeeft, bijvoorbeeld (en nooit heeft bevestigd hoe hun gegevens werden gehackt), suggereert het een opmerkelijke drang naar gratis aanbiedingen en andere bonussen die medio 2014 suggereerden dat veel gebruikers wegbleven.
In plaats van civiele acties tegen deze bedrijven te starten, zijn de enige echte stappen die klanten kunnen zetten tegen het flagrante misbruik en de onveilige gegevens (en als je een Moonpig.com-klant bent, is het de moeite waard om te controleren op beloften van gegevensbeveiliging in je oorspronkelijke voorwaarden en voorwaarden) is om met hun portemonnee te stemmen.
Met de explosie aan koerierservices en drone-leveringen, grote magazijnen in het hele land en grote leveringen, bewijst Amazon hoe ze orders van klanten kunnen uitvoeren en hun gegevens (tot nu toe) veilig kunnen houden. Andere bedrijven zouden Amazon als voorbeeld moeten gebruiken, in plaats van een ruwe sjabloon om te proberen na te bootsen. Als u dit niet doet, kan dit alleen maar leiden tot het einde van online winkelen - of de totale dominantie van Amazon.
Alleen door stappen te zetten om elders te winkelen, kunnen we profiteren van online winkels die hun verantwoordelijkheid serieus nemen.
Stop niet met online winkelen tot nu toe: gewoon slimmer winkelen
In de afgelopen paar jaar hebben we veel te veel grote namen gehackt. Maar deze inbraken, en daaropvolgende gegevenslekken, betekenen niet dat u klant moet blijven. In feite moet je het tegenovergestelde doen en in plaats daarvan naar de meer beveiligde concurrenten gaan of lokaal winkelen. Als je betrapt bent en winkelt op een site die gehackt is, kun je ook deze alternatieve opties overwegen. Store You Shop At Get Hacked? Hier is wat te doen Winkel die je kunt winkelen als je een hacker bent? Dit is wat u moet doen Meer lezen.
Natuurlijk heb je misschien een betere oplossing. Dus gebruik de opmerkingen om het te delen, en alle gerelateerde verhalen die je hebt.
Image Credit: online winkelen via Shutterstock