Publicité

Le magasin de cartes de voeux en ligne Moonpig a exposé les données des clients à des pirates informatiques pendant au moins 15 mois, malgré les avertissements d'un expert selon lesquels un trou devait être bouché.

Il y a plusieurs leçons ici. Le premier: l'arrogance des entreprises est dangereuse. Deuxièmement: il est important que les clients s’instruisent et s’assurent que les entreprises s’efforcent de garantir leur sécurité. Et le troisième: un «nom connu» n'est pas nécessairement sûr.

Moonpig est un magasin de cartes de vœux en ligne qui vend des cartes et des tasses personnalisées sur leur site Web. Très populaire (grâce à la publicité télévisée régulière), Moonpig a expédié 6 millions de cartes au Royaume-Uni en 2007. Bien qu'il s'agisse d'un site britannique (basé à Londres et sur l'île anglo-normande de Guernesey), cette situation affecte les acheteurs et les propriétaires de boutiques en ligne du monde entier.

Le Moonpig Hack: que s'est-il passé?

En 2013, le développeur Paul Price a découvert que les demandes d'API mobiles sur le site Web Moonpig.com pouvaient être piratées, permettant ainsi aux pirates informatiques de passer des commandes sur n'importe quel compte. De plus, des données telles que les noms des clients, la date de naissance, l'adresse, l'expiration de la carte de crédit et les quatre derniers chiffres de la carte peuvent être consultées.

instagram viewer

muo-security-moonpig-hack-card

Les sites Web qui proposent des achats en ligne fournissent généralement des limiteurs de taux qui réduisent l'impact des scripts automatisés, mais Moonpig a omis de le faire, ce qui en fait une cible facile et ouverte pour les pirates.

Initialement informé par Price de la vulnérabilité à la mi-2013, Moonpig a affirmé qu'ils le corrigeraient immédiatement; 18 mois plus tard, la vulnérabilité est restée.

Dit Price quand il publié les détails de la vulnérabilité en ligne:

«J’ai vu des mesures de sécurité à moitié interrompues de mon temps, mais cela ne fait que prendre le biscuit. Quel que soit l'architecte de ce système doit être waterboardé. Chaque demande d'API est comme ceci: il n'y a aucune authentification du tout et vous pouvez transmettre n'importe quel identifiant client pour les emprunter. Un attaquant pourrait facilement passer des commandes sur les comptes d'autres clients, ajouter ou récupérer des informations de carte, afficher des adresses enregistrées, afficher des commandes et bien plus encore. »

Essentiellement, l'authentification de base était utilisée et les données de compte révélées sans vérification d'authentification.

Price a décidé de rendre public le hack après que Moonpig ait répondu à son contact de suivi en septembre 2014 pour que le correctif soit en place d'ici Noël. Quand il a tout révélé le 5 janviere, il devait encore être branché.

La réaction de Moonpig au piratage

La leçon de cette histoire n'est pas tant sur le piratage - ils se produisent de plus en plus dans l'industrie des achats en ligne - mais sur l'attitude de l'entreprise et ce que cela signifie pour les consommateurs.

Si nous considérons le volume de hacks au cours des deux dernières années, comme fuite d'eBay encore inexpliquée La violation des données eBay: ce que vous devez savoir Lire la suite et Ciblez de perdre 40 millions de cartes de crédit Target confirme que jusqu'à 40 millions de clients américains peuvent potentiellement pirater des cartes de créditTarget vient de confirmer qu'un piratage aurait pu compromettre les informations de carte de crédit jusqu'à 40 millions de clients ayant effectué leurs achats dans ses magasins américains entre le 27 novembre et le 15 décembre 2013. Lire la suite alors nous pouvons voir qu'il semble y avoir au mieux une ignorance, au pire une complaisance totale, envers la sécurité en ligne.

Prenons, par exemple, la réponse de Moonpig aux nouvelles:

Nous sommes conscients des réclamations concernant les données client et pouvons confirmer que toutes les informations de mot de passe et de paiement sont et ont toujours été en sécurité.

- Tombpig?? (@MoonpigUK) 6 janvier 2015

Cette tentative de limitation des dommages a été immédiatement annoncée:

.@MoonpigUK Mis à part les noms, les dates d'expiration et les 4 derniers chiffres qui sont accessibles simplement via votre API depuis plus de 17 mois… @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 janvier 2015

Mis à part le désastre des relations publiques, l'incapacité de Moonpig à traiter le problème en temps opportun met en évidence la importance de l'exécution régulière de tests de pénétration sur les sites Web accessibles sur Internet, ainsi que de la sécurité avis rapidement.

Comment les clients peuvent bénéficier de vulnérabilités de sécurité

Il n'est pas clair si des données ont été volées à Moonpig via cette vulnérabilité, et sur la base de leurs efforts de limitation des dommages jusqu'à présent, elles ne partageraient probablement pas les informations même si elles les avaient.

Les problèmes sans fin avec la sécurité des achats en ligne au cours des 24 derniers mois ont commencé à saper la confiance dans l'industrie. Bien qu'eBay en dise peu à ce stade, par exemple (et n'a jamais confirmé comment ses données ont été piratées), c'est une tendance remarquable vers les annonces gratuites et d'autres bonus au milieu de 2014 suggère que de nombreux utilisateurs sont restés une façon.

muo-security-moonpig-hack-card2

À moins de lancer des actions civiles contre ces entreprises, les seules véritables mesures que les clients peuvent prendre contre l'utilisation abusive et l'insécurité flagrantes de leurs données (et si vous êtes un client Moonpig.com, il vaut la peine de vérifier les promesses de sécurité des données dans vos conditions générales d'origine) est de voter avec leur portefeuilles.

Avec l'explosion des services de messagerie et des livraisons de drones, de vastes entrepôts à travers le pays et de vastes livraisons, Amazon prouve comment répondre aux commandes des clients et garder leurs données en sécurité (jusqu'à présent). D'autres entreprises devraient utiliser Amazon comme exemple, plutôt qu'un modèle approximatif pour tenter d'imiter. Ne pas le faire ne peut que conduire à la fin des achats en ligne - ou à la domination totale d'Amazon.

Ce n'est qu'en prenant des mesures pour faire des achats ailleurs que nous pourrons bénéficier des boutiques en ligne prenant leurs responsabilités au sérieux.

N'arrêtez pas encore vos achats en ligne: achetez simplement plus intelligemment

Au cours des deux dernières années, nous avons vu beaucoup trop de grands noms piratés. Mais ces intrusions et les fuites de données qui s'ensuivent ne signifient pas que vous devez rester client. En fait, vous devriez faire le contraire et vous diriger vers les concurrents les plus sûrs, ou acheter localement à la place. Si vous êtes pris au piège et magasinez sur un site piraté, vous pourriez également considérer ces options alternatives Magasin où vous magasinez pour être piraté? Voici quoi faire Lire la suite .

Bien sûr, vous pourriez avoir une meilleure solution. Utilisez donc les commentaires pour le partager, ainsi que toutes les histoires que vous pourriez avoir.

Crédit d'image: Achats en ligne via Shutterstock

Christian Cawley est rédacteur en chef adjoint pour la sécurité, Linux, le bricolage, la programmation et la technologie expliquée. Il produit également le podcast vraiment utile et possède une vaste expérience en matière de support de bureau et de logiciels. Contributeur au magazine Linux Format, Christian est un bricoleur de Raspberry Pi, un amoureux des Lego et un fan de jeux rétro.