Sicherheitslücken machen deutlich, wie wichtig es ist, mit Ihrer Brieftasche abzustimmen

Der Online-Grußkartenladen von Moonpig hat Kundendaten mindestens 15 Monate lang Hackern ausgesetzt, obwohl ein Experte gewarnt hat, dass ein Loch verstopft werden muss.

Hier gibt es mehrere Lektionen. Das erste: Unternehmensarroganz ist gefährlich. Zweitens: Es ist wichtig, dass sich die Kunden weiterbilden und sicherstellen, dass die Unternehmen daran arbeiten, sie zu schützen. Und der dritte: Ein „bekannter Name“ ist nicht unbedingt sicher.

Moonpig ist ein Online-Grußkartenladen, der personalisierte Karten und Tassen auf seiner Website verkauft. Moonpig war sehr beliebt (dank regelmäßiger Fernsehwerbung) und hat 2007 6 Millionen Karten nach Großbritannien geliefert. Obwohl es sich um eine britische Website handelt (mit Sitz in London und auf der Kanalinsel von) Guernsey), dies ist eine Situation, die Käufer und Online-Shop-Besitzer auf der ganzen Welt betrifft. die Welt.

The Moonpig Hack: Was ist passiert?

Im Jahr 2013 entdeckte Entwickler Paul Price, dass mobile API-Anfragen auf der Moonpig.com-Website gehackt werden können, sodass Hacker Bestellungen für jedes Konto aufgeben können. Außerdem können Daten wie Kundennamen, Geburtsdatum, Adresse, Ablauf der Kreditkarte und die letzten vier Ziffern der Karte angezeigt werden.

Websites, die Online-Shopping anbieten, bieten normalerweise Ratenbegrenzer, die die Auswirkungen automatisierter Skripte verringern. Moonpig hat dies jedoch nicht getan, was es zu einem einfachen und offenen Ziel für Hacker macht.

Moonpig wurde ursprünglich von Price Mitte 2013 über die Sicherheitsanfälligkeit informiert und behauptete, sie werde sie sofort beheben. 18 Monate später blieb die Sicherheitslücke bestehen.

Sagte Price, als er veröffentlichte Details der Sicherheitsanfälligkeit online:

„Ich habe in meiner Zeit halb kaputte Sicherheitsmaßnahmen gesehen, aber das kostet nur den Kuchen. Wer der Architekt dieses Systems ist, muss mit einem Waterboard versehen sein. Jede API-Anfrage sieht folgendermaßen aus: Es gibt überhaupt keine Authentifizierung und Sie können eine beliebige Client-ID übergeben, um sie auszuleihen. Ein Angreifer kann problemlos Bestellungen auf den Konten anderer Kunden aufgeben, Karteninformationen hinzufügen oder abrufen, gespeicherte Adressen anzeigen, Bestellungen anzeigen und vieles mehr. „“

Im Wesentlichen wurde die Basisauthentifizierung verwendet und Kontodaten ohne Authentifizierungsüberprüfung angezeigt.

Price beschloss, den Hack an die Öffentlichkeit zu bringen, nachdem Moonpig auf seinen Folgekontakt im September 2014 geantwortet hatte, um die Lösung bis Weihnachten zu haben. Als er am 5. Januar alles enthüllteemusste es noch eingesteckt werden.

Moonpigs Reaktion auf den Hack

Die Lehre aus dieser Geschichte geht nicht so sehr um Piraterie – sie kommt immer häufiger in der Online-Shopping-Branche vor -, sondern um die Haltung des Unternehmens und was dies für die Verbraucher bedeutet.

Wenn wir uns das Volumen der Hacks in den letzten Jahren ansehen, wie das immer noch ungeklärte eBay-Leck und der Verlust von 40 Millionen Kreditkarten durch Target, können wir feststellen, dass es bestenfalls Unwissenheit und im schlimmsten Fall völlige Selbstzufriedenheit zu geben scheint. in Richtung Online-Sicherheit.

verbunden :  So überprüfen Sie, ob ein USB-Laufwerk in Windows 10 bootfähig ist oder nicht

Nehmen Sie zum Beispiel Moonpigs Antwort auf die Nachrichten:

Dieser Versuch, den Schaden zu begrenzen, wurde sofort angekündigt:

Abgesehen von der PR-Katastrophe zeigt Moonpigs Unfähigkeit, das Problem rechtzeitig zu lösen, wie wichtig es ist, regelmäßige Penetrationstests auf Websites mit Internetanschluss durchzuführen und Anfragen umgehend zu beantworten. Sicherheitshinweis.

Wie Kunden von Sicherheitslücken profitieren können

Es ist nicht klar, ob Moonpig aufgrund dieser Sicherheitsanfälligkeit Daten gestohlen wurden, und aufgrund ihrer bisherigen Bemühungen zur Schadensbegrenzung würden sie die Informationen wahrscheinlich nicht weitergeben, selbst wenn sie diese hätten.

Die endlosen Probleme mit der Sicherheit des Online-Shoppings in den letzten 24 Monaten haben das Vertrauen in die Branche untergraben. Während eBay zum Beispiel zu diesem Zeitpunkt wenig sagt (und nie bestätigt hat, wie ihre Daten gehackt wurden), deutet der bemerkenswerte Trend zu kostenlosen Anzeigen und anderen Boni Mitte 2014 darauf hin, dass viele Benutzer blieben weg.

muo-security-moonpig-hack-card2

Sofern Sie keine zivilrechtlichen Maßnahmen gegen diese Unternehmen einleiten, können Kunden nur gegen den groben Missbrauch und die Unsicherheit ihrer Daten vorgehen (und wenn Sie ein Kunde von Moonpig.com sind, lohnt es sich, dies zu überprüfen Alle Versprechen der Datensicherheit in Ihren ursprünglichen Geschäftsbedingungen sind, mit ihren Geldbörsen abzustimmen.

Mit der Explosion von Kurierdiensten und Drohnenlieferungen, riesigen Lagern im ganzen Land und riesigen Lieferungen beweist Amazon, wie Kundenaufträge erfüllt und ihre Daten (bis jetzt) ​​sicher aufbewahrt werden können. Andere Unternehmen sollten Amazon als Beispiel verwenden und nicht als grobes Modell, um zu versuchen, es zu emulieren. Wenn Sie dies nicht tun, kann dies nur zum Ende des Online-Shoppings führen – oder zur völligen Dominanz von Amazon.

Nur wenn wir Schritte unternehmen, um anderswo einzukaufen, können wir von Online-Shops profitieren, die ihre Verantwortung ernst nehmen.

Hören Sie noch nicht auf, online einzukaufen – kaufen Sie einfach intelligenter ein

In den letzten Jahren haben wir viel zu viele große Namen gehackt gesehen. Diese Eingriffe und die folgenden Datenlecks bedeuten jedoch nicht, dass Sie Kunde bleiben müssen. In der Tat sollten Sie das Gegenteil tun und zu den sichersten Wettbewerbern gehen oder stattdessen vor Ort kaufen. Wenn Sie gefangen sind und auf einer gehackten Website einkaufen, sollten Sie auch diese alternativen Optionen in Betracht ziehen.

verbunden :  Mit Sony können Sie endlich Ihre PSN-ID ändern

Natürlich könnten Sie eine bessere Lösung haben. Verwenden Sie also die Kommentare, um sie zusammen mit Ihren Geschichten zu teilen.

Bildnachweis: Online-Shopping über Shutterstock

Moyens Staff
Moyens I/O-Personal. motivierte Sie und gab Ratschläge zu Technologie, persönlicher Entwicklung, Lebensstil und Strategien, die Ihnen helfen werden.