الإعلانات

كشف متجر بطاقات التهنئة عبر الإنترنت Moonpig بيانات العملاء إلى المتسللين لمدة 15 شهرًا على الأقل ، على الرغم من تحذيرات الخبير من وجود ثقب يجب توصيله.

هناك دروس متعددة هنا. الأول: غطرسة الشركات أمر خطير. ثانيًا: من المهم للعملاء تثقيف أنفسهم ، والتأكد من أن الشركات تعمل على الحفاظ عليها آمنة. والثالث: "الاسم المعروف" ليس بالضرورة آمنًا.

Moonpig هو متجر بطاقات تهنئة عبر الإنترنت يبيع البطاقات والأكواب المصممة خصيصًا من خلال موقعه على الويب. تحظى Moonpig بشعبية كبيرة (بفضل الإعلانات التلفزيونية العادية) ، حيث قامت بشحن 6 ملايين بطاقة في المملكة المتحدة في عام 2007. بينما موقع بريطاني (مقره في لندن وجزيرة القنال غيرنسي) ، فإن هذا الوضع يؤثر على المتسوقين وأصحاب المتاجر عبر الإنترنت في جميع أنحاء العالم.

Moonpig Hack: ماذا حدث؟

في عام 2013 ، اكتشف المطور Paul Price أن طلبات واجهة برمجة تطبيقات الجوال على موقع Moonpig.com يمكن اختراقها ، وبالتالي تمكين المتسللين الإجراميين من وضع أوامر على أي حساب. بالإضافة إلى ذلك ، يمكن الاطلاع على بيانات مثل أسماء العملاء وتاريخ الميلاد والعنوان وانتهاء صلاحية بطاقة الائتمان والأرقام الأربعة الأخيرة من البطاقة.

instagram viewer
muo-security-moonpig-hack-card

عادةً ما توفر مواقع الويب التي تقدم التسوق عبر الإنترنت محددات أسعار تقلل من تأثير البرامج النصية التلقائية ، لكن Moonpig أغفلت القيام بذلك ، مما يجعلها هدفًا سهلًا ومفتوحًا للمتسللين.

أبلغت شركة Moonpig في البداية من قبل Price بالثغرة في منتصف عام 2013 ، أنها ستصلحها على الفور ؛ بعد 18 شهرا ، بقي الضعف.

قال السعر عندما نشر تفاصيل الضعف عبر الانترنت:

"لقد رأيت بعض الإجراءات الأمنية نصف المتعثرة في وقتي ولكن هذا فقط يأخذ البسكويت. أيا كان مهندس هذا النظام يحتاج إلى الماء. يشبه كل طلب لواجهة برمجة التطبيقات هذا: لا توجد مصادقة على الإطلاق ويمكنك تمرير أي معرف عميل لانتحال صفتهم. يمكن للمهاجم وضع الطلبات بسهولة على حسابات عملاء آخرين ، وإضافة معلومات البطاقة أو استردادها ، وعرض العناوين المحفوظة ، وعرض الطلبات والمزيد. "

بشكل أساسي ، تم استخدام المصادقة الأساسية وكشفت بيانات الحساب دون التحقق من المصادقة.

قرر برايس الإعلان عن الاختراق بعد رد Moonpig على اتصال المتابعة الخاص به في سبتمبر 2014 لإصلاحه بحلول عيد الميلاد. عندما كشف عن كل شيء في 5 ينايرالعاشر، لم يتم توصيله بعد.

رد فعل Moonpig على The Hack

لا يتعلق درس هذه القصة كثيرًا بالقرصنة - فهي تحدث أكثر فأكثر في صناعة التسوق عبر الإنترنت - ولكن حول موقف الشركة ، وما يعنيه ذلك بالنسبة للمستهلكين.

إذا أخذنا بعين الاعتبار حجم الاختراق خلال العامين الماضيين ، مثل تسرب يباي لا يزال غير المبرر خرق بيانات eBay: ما تحتاج إلى معرفته قراءة المزيد و الهدف خسارة 40 مليون بطاقة ائتمان الهدف يؤكد ما يصل إلى 40 مليون عميل أمريكي بطاقات الائتمان التي تم اختراقهالقد أكد الهدف للتو أن الاختراق كان يمكن أن يضر بمعلومات بطاقة الائتمان لمدة تصل إلى 40 مليون عميل تسوقوا في متاجرها الأمريكية بين 27 نوفمبر و 15 ديسمبر 2013. قراءة المزيد ثم يمكننا أن نرى أنه يبدو أن هناك في أحسن الأحوال جهلاً ، في أسوأ الأحوال من الرضا التام ، تجاه الأمن عبر الإنترنت.

خذ على سبيل المثال رد Moonpig على الأخبار:

نحن على دراية بالمطالبات المتعلقة ببيانات العملاء ويمكننا تأكيد أن جميع معلومات كلمة المرور والدفع آمنة ولا تزال.

- تومببيج ؟؟ (MoonpigUK) 6 يناير 2015

تم استدعاء هذه المحاولة للحد من الضرر على الفور:

.MoonpigUK بصرف النظر عن الأسماء وتواريخ انتهاء الصلاحية والأرقام الأربعة الأخيرة التي يمكن الوصول إليها ببساطة عبر واجهة برمجة التطبيقات الخاصة بك لأكثر من 17 شهرًا... @ شارلوتيس

- جيمس سيمور لوك (JamesSLock) 6 يناير 2015

وبغض النظر عن كارثة العلاقات العامة ، فإن عدم قدرة Moonpig على التعامل مع المشكلة في الوقت المناسب يسلط الضوء على أهمية إجراء اختبارات اختراق منتظمة على المواقع التي تواجه الإنترنت ، وكذلك الاستجابة للأمن تحذيرات على الفور.

كيف يمكن للعملاء الاستفادة من نقاط الضعف الأمنية

ليس من الواضح ما إذا تمت سرقة أي بيانات من Moonpig عبر هذه الثغرة الأمنية ، واستناداً إلى جهود الحد من الأضرار التي لحقت بهم حتى الآن ، فمن المحتمل أنهم لن يشاركوا المعلومات حتى لو كانت لديهم.

بدأت المشاكل التي لا تنتهي مع أمان التسوق عبر الإنترنت على مدار الـ 24 شهرًا الماضية أو نحو ذلك في تقويض الثقة في الصناعة. بينما يقدم موقع eBay القليل في هذه المرحلة ، على سبيل المثال (ولم يؤكد أبدًا كيف تم اختراق بياناتهم) يشير التوجه الملحوظ نحو القوائم المجانية والمكافآت الأخرى خلال منتصف عام 2014 إلى بقاء الكثير من المستخدمين بعيدا.

muo-security-moonpig-hack-card2

عدم اتخاذ إجراءات مدنية ضد هذه الشركات ، فإن الخطوات الحقيقية الوحيدة التي يمكن للعملاء اتخاذها ضد سوء الاستخدام الصارخ وانعدام الأمن لبياناتهم (وإذا كنت أحد عملاء Moonpig.com ، فمن الجدير التحقق من أي وعود بأمان البيانات في البنود والشروط الأصلية) هي التصويت مع محافظ.

مع انفجار خدمات البريد السريع وتسليم الطائرات بدون طيار ، والمستودعات الضخمة في جميع أنحاء البلاد والتسليم الواسع ، تثبت أمازون كيفية تلبية طلبات العملاء والحفاظ على بياناتهم آمنة (حتى الآن). يجب أن تستخدم شركات أخرى أمازون كمثال ، بدلاً من نموذج تقريبي لمحاولة التقليد. يمكن أن يؤدي عدم القيام بذلك فقط إلى نهاية التسوق عبر الإنترنت - أو الهيمنة الكاملة للأمازون.

فقط من خلال اتخاذ خطوات للتسوق في مكان آخر يمكننا الاستفادة من المتاجر عبر الإنترنت التي تأخذ مسؤولياتها على محمل الجد.

لا تتوقف عن التسوق عبر الإنترنت بعد: تسوق فقط أذكى

شهدنا خلال العامين الماضيين اختراق عدد كبير جدًا من الأسماء الكبيرة. لكن هذه الاختراقات وتسريبات البيانات اللاحقة لا تعني أنه يجب أن تظل عميلاً. في الواقع ، يجب عليك القيام بالعكس والتوجه إلى المنافسين الأكثر أمانًا ، أو التسوق محليًا ، بدلاً من ذلك. إذا كنت تتسوق وتتسوق في موقع تم اختراقه ، فيمكنك أيضًا النظر في هذه الخيارات البديلة المتجر الذي تتسوق في الحصول على الاختراق؟ إليك ما يجب فعله قراءة المزيد .

بالطبع ، قد يكون لديك حل أفضل. لذا استخدم التعليقات لمشاركتها وأي قصص ذات صلة قد تكون لديك.

حقوق الصورة: التسوق عبر الإنترنت عبر Shutterstock

كريستيان كاولي هو نائب رئيس التحرير للأمن ، Linux ، DIY ، البرمجة ، وشرح التكنولوجيا. كما ينتج بودكاست مفيد حقًا ولديه خبرة واسعة في دعم سطح المكتب والبرامج. مساهم في مجلة Linux Format ، Christian هو Raspberry Pi tinkerer ، Lego lover ومروحة ألعاب ريترو.