Fallas de seguridad destacan importancia de votar con la billetera

En línea tienda de tarjetas de saludos Moonpig expone datos de los clientes a los piratas informáticos durante al menos 15 meses, a pesar de las advertencias de un experto que había un agujero que necesitaba ser tapado.

Hay varias lecciones aquí. La primera: la arrogancia corporativa es peligroso. Segundo: es importante que los clientes se educan, y asegúrese de que las compañías están trabajando para mantenerlos seguros. Y la tercera: un “nombre conocido” no es necesariamente una caja fuerte.

Moonpig es una tienda de tarjetas de saludos en línea que vende tarjetas y tazas de diseño personalizado a través de su página web. Muy popular (gracias a la publicidad en televisión regular), Moonpig enviado 6 millones de tarjetas en en el Reino Unido en 2007. Mientras que un sitio británico (con sede en Londres y el Canal de la Isla de Guernsey), esta es una situación que afecta a los compradores y los propietarios de la tienda en línea en todo el mundo.

El Moonpig Hack: ¿Qué pasó?

De nuevo en 2013, desarrollador Paul Price descubrió que las solicitudes de API móviles en el sitio web Moonpig.com podrían ser pirateados, lo que permite a los piratas informáticos criminales para realizar pedidos en cualquier cuenta. Además, datos tales como nombres de clientes, fecha de nacimiento, dirección, vencimientos de tarjetas de crédito y los últimos cuatro dígitos de la tarjeta podría ser visto.

Muo-security-moonpig-Hack-tarjeta

Los sitios web que ofrecen las compras en línea por lo general proporcionan limitador de velocidad que reducen el impacto de scripts automatizados, pero Moonpig omiten hacer esto, por lo que es un objetivo fácil, abierta para los hackers.

Inicialmente informado por precio de la vulnerabilidad a mediados de 2013, Moonpig afirmó que iban a arreglarlo enseguida- 18 meses más tarde, la vulnerabilidad se mantuvo.

Dicho precio cuando publicó detalles de la vulnerabilidad en línea:

“He visto algunas medidas de seguridad y medio-arsed en mi tiempo, pero esto sólo se lleva la palma. El que el arquitecto de este sistema necesita ser sometido al submarino. Cada solicitud de API es así: no hay ninguna autenticación en absoluto y se puede pasar en cualquier ID de cliente para hacerse pasar por ellos. Un atacante podría fácilmente hacer pedidos en otras cuentas de clientes, añadir o recuperar información de la tarjeta, Vista la lista de direcciones, ver pedidos y mucho más “.

En esencia, se estaba utilizando la autenticación básica y datos de la cuenta revelada sin comprobaciones de autenticación.

Precio decidió hacer pública con el hack después Moonpig respondido a su contacto de seguimiento en septiembre de 2014 para tener la solución en su lugar antes de Navidad. Cuando reveló todo el 5 de eneroº, que todavía no se había enchufado.

La reacción de moonpig Para El Hack

La lección de esta historia no es tanto sobre el hack - que están ocurriendo cada vez más en la industria de las compras en línea - sino de la actitud de la empresa, y lo que esto significa para los consumidores.

Si tenemos en cuenta el volumen de los cortes en el último par de años, como fuga de eBay todavía inexplicable y Objetivo perder 40 millones de tarjetas de crédito entonces podemos ver que parece que hay en el mejor de una ignorancia, en el peor, la complacencia absoluta, hacia la seguridad en línea.La violación de datos de eBay: lo que usted necesita saberLa violación de datos de eBay: lo que usted necesita saberLee mas

Tomemos, por ejemplo, la respuesta Moonpig a la noticia:

Este intento de limitar los daños fue llamado a salir de inmediato:

desastre de relaciones públicas a un lado, la incapacidad de Moonpig a tratar el tema de manera oportuna pone de relieve la importancia de las pruebas de penetración en funcionamiento regulares en los sitios web de Internet frente, así como responder a los avisos de seguridad con prontitud.

Cómo los clientes pueden beneficiarse de vulnerabilidades de seguridad

No está claro si cualquier dato fue robado de Moonpig a través de esta vulnerabilidad, y en base a sus esfuerzos de reducción de riesgos en lo que va probablemente no compartir la información incluso si lo tenían.

Las interminables problemas con la seguridad de las compras en línea en los últimos 24 meses más o menos han comenzado a socavar la confianza en la industria. Mientras que eBay está dando poca distancia en esta etapa, por ejemplo (y nunca confirmó cómo fue hackeado sus datos) es notable impulso hacia listados libres y otras bonificaciones durante la mitad de 2014 sugiere una gran cantidad de usuarios se mantuvieron alejados.

Muo-security-moonpig-Hack-card2

Corto de poner en marcha acciones civiles contra estas empresas, los únicos clientes pasos reales pueden tomar contra el abuso flagrante y la inseguridad de sus datos (y si usted es un cliente Moonpig.com vale la pena revisar la existencia de promesas de seguridad de los datos en sus términos originales y condiciones) es votar con sus billeteras.

Con la explosión de los servicios de mensajería y entregas de aviones no tripulados, grandes almacenes de todo el país y grandes entregas, Amazon está demostrando cómo cumplir con los pedidos de clientes y mantener sus datos seguros (hasta ahora). Otras compañías deben utilizar Amazon como ejemplo, en lugar de una plantilla aproximada para tratar de imitar. De no hacerlo, sólo puede dar lugar a finales de compras en línea - o el dominio total de Amazon.

Sólo mediante la adopción de medidas para comprar en otro lado podemos beneficiarnos de las tiendas en línea toman en serio sus responsabilidades.

No abandone compras en línea todavía: Sólo Tienda Inteligente

En el último par de años hemos visto demasiados grandes nombres hackeado. Pero estas intrusiones y posteriores fugas de información, no significa que usted tiene que seguir siendo un cliente. De hecho, usted debe hacer lo contrario y la cabeza de los competidores más seguros, o ir de compras a nivel local, en lugar. Si te pillan fuera y comprar en un sitio que está hackeado, éstos también debería considerar estas opciones alternativas.Tienda de compras en ser hackeado? Aquí es lo que hacerTienda de compras en ser hackeado? Aquí es lo que hacerLee mas

Por supuesto, es posible que tenga una mejor solución. A fin de utilizar los comentarios compartirlo, y cualquier historias relacionadas que puedan tener.

Artículos Relacionados