Les failles de sécurité soulignent l’importance de voter avec votre portefeuille

  • Joseph Goodman
  • 0
  • 2571
  • 537
Publicité

Le magasin de cartes de voeux en ligne Moonpig a exposé les données des clients à des pirates informatiques pendant au moins 15 mois, malgré les avertissements d'un expert signalant qu'il y avait un trou à combler..

Il y a plusieurs leçons ici. Le premier: l'arrogance des entreprises est dangereuse. Deuxièmement, il est important que les clients s’instruisent et s’assurent que les entreprises s’efforcent de les protéger. Et le troisième: un “nom connu” n'est pas nécessairement un coffre-fort.

Moonpig est un magasin de cartes de vœux en ligne qui vend des cartes et des tasses personnalisées sur son site Web. Très populaire (grâce à la publicité télévisée régulière), Moonpig a expédié 6 millions de cartes au Royaume-Uni en 2007. Bien qu’un site britannique (basé à Londres et dans l’île anglo-normande de Guernesey), cette situation touche les acheteurs et les propriétaires de boutique en ligne aux alentours le monde.

Le piratage de Moonpig: Que s'est-il passé??

En 2013, le développeur Paul Price a découvert que les requêtes d'API mobiles sur le site Web Moonpig.com pouvaient être piratées, permettant ainsi aux pirates informatiques de passer des commandes sur n'importe quel compte. De plus, des données telles que le nom du client, la date de naissance, l'adresse, les dates d'expiration de la carte de crédit et les quatre derniers chiffres de la carte peuvent être visualisées..

Les sites Web proposant des achats en ligne fournissent généralement des limiteurs de taux qui réduisent l'impact des scripts automatisés, mais Moonpig a omis de le faire, ce qui en fait une cible facile et ouverte pour les pirates.

Informé initialement par Price de la vulnérabilité à la mi-2013, Moonpig a affirmé qu'ils le corrigeraient immédiatement. 18 mois plus tard, la vulnérabilité demeurait.

Price a déclaré lorsqu'il avait publié les détails de la vulnérabilité en ligne:

“J'ai vu des mesures de sécurité à moitié arse à mon époque mais cela ne prend que le biscuit. Quel que soit l'architecte, ce système doit être mis à l'eau. Chaque demande d'API ressemble à ceci: il n'y a aucune authentification et vous pouvez transmettre n'importe quel ID client pour les imiter. Un attaquant pourrait facilement passer commande sur les comptes d'autres clients, ajouter ou récupérer des informations sur les cartes, afficher les adresses enregistrées, afficher les commandes, etc..”

Pour l’essentiel, l’authentification de base était utilisée et les données de compte révélées sans vérification de l’authentification.

Price a décidé de rendre public le piratage après que Moonpig ait répondu à son contact de suivi en septembre 2014 pour que le correctif soit en place d'ici Noël. Quand il a tout révélé le 5 janvierth, il devait encore être branché.

La réaction de Moonpig au piratage

La leçon de cette histoire ne concerne pas tant le piratage - ils se produisent de plus en plus dans le secteur des achats en ligne - mais à propos de l'attitude de la société et de ce que cela signifie pour les consommateurs..

Si nous prenons en compte le volume de piratages au cours des deux dernières années, tels que la fuite encore inexpliquée sur eBay, la violation de données eBay: ce que vous devez savoir La violation de données eBay: ce que vous devez savoir et la cible perdant 40 millions de cartes de crédit La cible potentiellement piratée de près de 40 millions de clients américains confirme jusqu'à 40 millions de cartes de crédit la cible américaine piratée La cible récemment piratée vient de confirmer qu'un piratage aurait pu compromettre les informations de carte de crédit de 40 millions de clients qui ont effectué des achats dans ses magasins américains Les 27 novembre et 15 décembre 2013, nous pouvons alors constater qu'il semble y avoir au mieux une ignorance, au pire une complaisance totale, à l'égard de la sécurité en ligne..

Prenons, par exemple, la réponse de Moonpig aux nouvelles:

Nous sommes au courant des réclamations concernant les données du client et pouvons confirmer que tous les mots de passe et informations de paiement sont et ont toujours été sûrs..

- Tombpig ?? (@MoonpigUK) 6 janvier 2015

Cette tentative de limitation des dommages a été immédiatement appelée:

.@MoonpigUK Outre les noms, les dates d'expiration et les 4 derniers chiffres, accessibles simplement via votre API depuis plus de 17 mois… @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 janvier 2015

Le désastre des relations publiques mis à part, l'incapacité de Moonpig à traiter le problème de manière opportune souligne l'importance des tests de pénétration en cours d'exécution courants sur les sites Web orientés vers Internet, ainsi que de répondre rapidement aux avis de sécurité..

Comment les clients peuvent bénéficier des vulnérabilités de sécurité

Il n’est pas clair si des données ont été volées à Moonpig via cette vulnérabilité et, d’après leurs efforts de limitation des dommages jusqu’à présent, ils ne partageraient probablement pas les informations même s’ils les possédaient..

Les problèmes sans fin liés à la sécurité des achats en ligne au cours des 24 derniers mois ont commencé à saper la confiance dans le secteur. Bien qu'eBay cède peu à ce stade, par exemple (et n'a jamais confirmé comment leurs données ont été piratées), il a fait preuve d'une motivation remarquable en ce qui concerne les annonces gratuites et autres bonus à la mi-2014, ce qui laisse penser que de nombreux utilisateurs restent à l'écart..

Sauf à engager des actions civiles contre ces sociétés, les clients ne peuvent réellement prendre que des mesures contre l'utilisation abusive et l'insécurité flagrantes de leurs données (et si vous êtes un client de Moonpig.com, cela vaut la peine de vérifier les promesses de sécurité des données dans vos conditions initiales. conditions) est de voter avec leurs portefeuilles.

Avec l'explosion des services de messagerie et des livraisons de drones, de vastes entrepôts à travers le pays et de vastes livraisons, Amazon prouve qu'il est possible de répondre aux commandes des clients et de protéger leurs données (jusqu'à présent). D'autres sociétés devraient utiliser Amazon comme exemple, plutôt qu'un modèle approximatif pour tenter de l'imiter. Ne pas le faire ne peut qu'entraîner la fin des achats en ligne - ou la domination totale d'Amazon.

Ce n’est qu’en prenant des mesures pour faire des achats ailleurs que nous pourrons profiter des boutiques en ligne qui prennent leurs responsabilités au sérieux..

Ne quittez pas les achats en ligne: faites des achats plus intelligents

Au cours des deux dernières années, nous avons vu beaucoup trop de grands noms piratés. Mais ces intrusions et les fuites de données qui en découlent ne signifient pas que vous devez rester client. En fait, vous devriez faire le contraire et vous diriger vers les concurrents les plus sûrs, ou acheter localement à la place. Si vous êtes pris au dépourvu et que vous magasinez sur un site piraté, vous pouvez également envisager ces options alternatives. Magasin Vous magasinez chez Obtenez piraté? Voici ce qu'il faut faire Vous magasinez chez Get Hacked? Voici ce qu'il faut faire .

Bien sûr, vous pourriez avoir une meilleure solution. Alors utilisez les commentaires pour les partager, et toutes les histoires que vous pourriez avoir.

Crédit d'image: Shopping en ligne via Shutterstock




Personne n'a encore commenté ce post.

De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.