İlan
Çevrimiçi tebrik kartı mağazası Moonpig, bir uzmandan takılması gereken bir delik olduğu uyarısına rağmen, müşteri verilerini en az 15 ay boyunca bilgisayar korsanlarına maruz bıraktı.
Burada birden fazla ders var. Birincisi: kurumsal kibir tehlikelidir. İkincisi: müşterilerin kendilerini eğitmeleri ve şirketlerin kendilerini güvende tutmak için çalıştıklarından emin olmaları önemlidir. Üçüncüsü: “bilinen ad” mutlaka güvenli olmak zorunda değildir.
Moonpig, web siteleri aracılığıyla özel olarak tasarlanmış kartlar ve kupalar satan çevrimiçi bir tebrik kartı deposudur. Oldukça popüler (normal TV reklamları sayesinde) Moonpig, 2007 yılında İngiltere'de 6 milyon kart gönderdi. Bir İngiliz sitesi (Londra ve Guernsey Kanal Adası'nda bulunur) olsa da, bu durum dünyadaki müşterileri ve çevrimiçi mağaza sahiplerini etkileyen bir durumdur.
Moonpig Hack: Ne Oldu?
2013 yılında, geliştirici Paul Price, Moonpig.com web sitesindeki mobil API taleplerinin saldırıya uğradığını keşfetti ve böylece korsanların herhangi bir hesaba sipariş verebilmelerini sağladı. Ayrıca, müşteri adları, doğum tarihi, adres, kredi kartı süresinin dolması ve kartın son dört basamağı gibi veriler de görüntülenebilir.
Çevrimiçi alışveriş sunan web siteleri genellikle otomatik komut dosyalarının etkisini azaltan hız sınırlayıcılar sağlar, ancak Moonpig bunu yapmayı atladı ve bilgisayar korsanları için kolay ve açık bir hedef haline getirdi.
Başlangıçta Price tarafından 2013 ortasındaki güvenlik açığı konusunda bilgilendirilen Moonpig, hemen çözeceklerini iddia etti; 18 ay sonra, güvenlik açığı devam etti.
Said Price güvenlik açığının yayınlanmış ayrıntıları internet üzerinden:
“Zamanımda bazı yarı silahlı güvenlik önlemleri gördüm ama bu sadece bisküviyi alıyor. Bu sistemin kimin mimarı olması gerekir. Her API isteği şöyledir: Kimlik doğrulaması yoktur ve bunları taklit etmek için herhangi bir müşteri kimliğini iletebilirsiniz. Saldırgan diğer müşterilerin hesaplarına kolayca sipariş verebilir, kart bilgileri ekleyebilir veya alabilir, kaydedilen adresleri görüntüleyebilir, siparişleri görüntüleyebilir ve çok daha fazlasını yapabilir. ”
Temel olarak, temel kimlik doğrulama kullanılıyordu ve kimlik doğrulama kontrolleri yapılmadan hesap verileri gösteriliyordu.
Moonpig, Eylül 2014'teki takip kontağına Noel tarafından düzeltilmesi için cevap verdikten sonra fiyat hackle halka açılmaya karar verdi. 5 Ocak'ta hepsini açıkladığındaincihenüz fişe takılmamıştı.
Moonpig’in Hack'e Tepkisi
Bu hikayenin dersi hack hakkında çok fazla değil - çevrimiçi alışveriş sektöründe giderek daha fazla oluyor - ama şirketin tutumu ve bunun tüketiciler için ne anlama geldiği hakkında.
Son birkaç yıldaki saldırı hacmini düşünürsek, örneğin hala açıklanamayan eBay sızıntısı EBay Veri İhlali: Bilmeniz Gerekenler Daha fazla oku ve 40 milyon kredi kartını kaybetmeyi hedefleyin Hedef, 40 Milyon ABD Müşterisine Potansiyel Olarak Saldırıya UlaştıTarget, bir saldırının kredi kartı bilgilerinin güvenliğini aşabileceğini doğruladı 27 Kasım - 15 Aralık tarihleri arasında ABD mağazalarında alışveriş yapan 40 milyon müşteri 2013. Daha fazla oku çevrimiçi güvenliğe karşı en iyi cehalet, en kötü şikayette bulunduğunu görebiliriz.
Örneğin, habere Moonpig yanıtını alın:
Müşteri verileriyle ilgili taleplerin farkındayız ve tüm şifre ve ödeme bilgilerinin güvenli olduğunu ve her zaman güvenli olduğunu onaylayabiliriz.
- Tombpig?? (@MoonpigUK) 6 Ocak 2015
Bu hasar sınırlama girişimi hemen çağrıldı:
.@MoonpigUK 17 aydan uzun bir süre boyunca API'nız aracılığıyla erişilebilen adlar, son kullanma tarihleri ve son 4 hane dışında… @Charlotteis
- James Seymour-Lock (@JamesSLock) Instagram Profilini Görüntüle 6 Ocak 2015
Halkla İlişkiler felaketi bir yana Moonpig’in konuyla zamanında başa çıkamaması, İnternete yönelik web sitelerinde düzenli olarak penetrasyon testlerinin ve güvenliğe yanıt vermenin önemi derhal tavsiye.
Müşteriler Güvenlik Açıklarından Nasıl Yararlanabilir?
Moonpig'den bu güvenlik açığıyla herhangi bir verinin çalınıp çalınmadıkları açık değildir ve şu ana kadarki hasar sınırlama çabalarına dayanarak, bilgileri olsalar bile muhtemelen paylaşmayacaklardır.
Son 24 ay içinde çevrimiçi alışveriş güvenliğiyle ilgili sonsuz sorunlar, sektöre olan güveni zayıflatmaya başladı. EBay bu aşamada çok az şey verirken, örneğin (ve verilerinin nasıl saldırıya uğradığını asla doğrulamadı) 2014'ün ortalarında ücretsiz girişlere ve diğer bonuslara doğru kayda değer bir sürüş, birçok kullanıcının kaldığını gösteriyor uzakta.
Bu şirketlere karşı sivil dava açılmadığı için, müşterilerin verilerinin kötüye kullanımı ve güvensizliğine karşı atabilecekleri tek gerçek adım (ve bir Moonpig.com müşterisiyseniz, orijinal şart ve koşullarınızda veri güvenliği vaatlerini kontrol etmeye değer) cüzdanlar.
Kurye servislerindeki patlama ve drone teslimatları, ülke çapında geniş depolar ve büyük teslimatlar ile Amazon, müşteri siparişlerini nasıl yerine getireceğini ve verilerini (şimdiye kadar) nasıl koruyacağını kanıtlıyor. Diğer şirketler, taklit etmeye çalışmak için kaba bir şablon yerine Amazon'u örnek olarak kullanmalıdır. Bunun yapılmaması, yalnızca çevrimiçi alışverişin sona ermesine veya Amazon'un toplam hakimiyetine neden olabilir.
Sorumluluklarını ciddiye alan çevrimiçi mağazalardan ancak başka bir yerde alışveriş yapmak için adımlar atabiliriz.
Henüz Online Alışverişten Çıkmayın: Daha Akıllıca Alışveriş Yapın
Geçtiğimiz birkaç yıl boyunca çok fazla büyük ismin hacklendiğini gördük. Ancak bu izinsiz girişler ve sonraki veri sızıntıları, müşteri olarak kalmanız gerektiği anlamına gelmez. Aslında, tam tersini yapmalı ve daha güvenli rakiplere yönelmeli veya bunun yerine yerel olarak alışveriş yapmalısınız. Saldırıya uğramış ve saldırıya uğramış bir sitede alışveriş yaparsanız, bu alternatif seçenekleri düşünün Mağaza Hacked At Mağaza? İşte Ne Yapmalı Daha fazla oku .
Tabii ki, daha iyi bir çözümünüz olabilir. Paylaşmak için yorumları ve aklınıza gelebilecek ilgili hikayeleri kullanın.
İmaj Kredisi: Shutterstock üzerinden online alışveriş
Christian Cawley, Güvenlik, Linux, Kendin Yap, Programlama ve Teknik Açıklaması Editör Yardımcısıdır. Ayrıca Gerçekten Kullanışlı Podcast'i üretiyor ve masaüstü ve yazılım desteği konusunda geniş deneyime sahip. Linux Format dergisine katkıda bulunan Christian, bir Raspberry Pi tamircisi, Lego sevgilisi ve retro oyun hayranı.