Sicherheit

Sicherheitsmängel markieren die Wichtigkeit der Abstimmung mit Ihrer Geldbörse

Sicherheitsmängel markieren die Wichtigkeit der Abstimmung mit Ihrer Geldbörse / Sicherheit

Moonpig, der Online-Grußkartenladen, hat Kundendaten mindestens 15 Monate lang gegenüber Hackern offengelegt, obwohl ein Experte vor dem Auftreten eines Lochs gewarnt hatte.

Hier gibt es mehrere Lektionen. Die erste: Unternehmens Arroganz ist gefährlich. Zweitens: Es ist wichtig, dass Kunden sich selbst weiterbilden und sicherstellen, dass Unternehmen daran arbeiten, sie zu schützen. Und der dritte: a “bekannter Name” ist nicht unbedingt ein sicherer.

Moonpig ist ein Online-Kartengeschäft, in dem Karten und Tassen über ihre Website verkauft werden. Moonpig war im Jahr 2007 sehr beliebt (dank regelmäßiger Fernsehwerbung) und lieferte 6 Millionen Karten in Großbritannien aus. Ein britischer Standort (mit Sitz in London und der Kanalinsel Guernsey) wirkt sich auf Käufer und Besitzer von Online-Shops aus die Welt.

Der Moonpig Hack: Was ist passiert??

Im Jahr 2013 entdeckte der Entwickler Paul Price, dass mobile API-Anforderungen auf der Moonpig.com-Website gehackt werden könnten, wodurch kriminelle Hacker die Möglichkeit haben, Bestellungen für jedes Konto aufzugeben. Außerdem können Daten wie Kundenname, Geburtsdatum, Adresse, Kreditkartenablauf und die letzten vier Ziffern der Karte angezeigt werden.

Auf Websites, die Online-Shopping anbieten, gibt es normalerweise Preisbegrenzer, die die Auswirkungen automatisierter Skripts reduzieren. Moonpig verzichtet jedoch darauf und macht es so zu einem einfachen, offenen Ziel für Hacker.

Moonpig, der Anfang 2013 von Price über die Schwachstelle informiert wurde, behauptete, sie würden das Problem sofort beheben. 18 Monate später blieb die Anfälligkeit bestehen.

Sagte Price, als er Details der Sicherheitsanfälligkeit online veröffentlichte:

“Ich habe in meiner Zeit einige halbwegs gesicherte Sicherheitsmaßnahmen gesehen, aber das kostet nur den Keks. Wer als Architekt dieses System verwendet, muss Waterboarding betreiben. Jede API-Anfrage ist wie folgt: Es gibt überhaupt keine Authentifizierung und Sie können jede Kundennummer eingeben, um sie auszugeben. Ein Angreifer kann problemlos Bestellungen für andere Kunden aufgeben, Karteninformationen hinzufügen oder abrufen, gespeicherte Adressen anzeigen, Bestellungen anzeigen und vieles mehr.”

Im Wesentlichen wurde die Basisauthentifizierung verwendet und Kontodaten ohne Authentifizierungsprüfungen angezeigt.

Price entschied sich, mit dem Hack an die Öffentlichkeit zu gehen, nachdem Moonpig im September 2014 auf seinen Anschlusskontakt reagiert hatte, um die Lösung bis Weihnachten zu schaffen. Als er alles am 5. Januar enthüllteth, es musste noch eingesteckt werden.

Moonpigs Reaktion auf den Hack

Die Lektion dieser Geschichte ist nicht so sehr auf den Hack gerichtet - sie passieren immer mehr in der Online-Shopping-Branche -, sondern über die Haltung des Unternehmens und was dies für die Verbraucher bedeutet.

Wenn wir die Menge an Hacks in den letzten Jahren betrachten, wie zum Beispiel immer noch ungeklärte eBay-Lücken Die Datenverletzung bei eBay: Was Sie wissen müssen Die Datenverletzung bei eBay: Was Sie wissen müssen Lesen Sie mehr und verlieren Sie 40 Millionen Kreditkarten Target bestätigt bis zu 40 Millionen US-Kunden Kreditkarten potenziell gehacktes Ziel bestätigt bis zu 40 Millionen US-Kunden Kreditkarten potenziell gehackt Ziel hat gerade bestätigt, dass ein Hacker die Kreditkarteninformationen für bis zu 40 Millionen Kunden, die in den USA eingekauft haben, gefährdet haben könnte speichert zwischen dem 27. November und dem 15. Dezember 2013. Lesen Sie mehr. Dann können wir feststellen, dass es im besten Fall eine Ignoranz gibt, im schlimmsten Fall völlige Selbstzufriedenheit gegenüber der Online-Sicherheit.

Nehmen Sie zum Beispiel die Antwort von Moonpig auf die Nachrichten:

Wir kennen die Angaben zu Kundendaten und können bestätigen, dass alle Kennwort- und Zahlungsinformationen sicher sind und waren.

- Tombpig ?? (@MoonpigUK) 6. Januar 2015

Dieser Versuch der Schadensbegrenzung wurde sofort aufgerufen:

.@MoonpigUK Abgesehen von Namen, Verfallsdaten und letzten 4 Ziffern, die seit über 17 Monaten einfach über Ihre API zugänglich sind… @Charlotteis

- James Seymour-Lock (@JamesSLock) 6. Januar 2015

Abgesehen von Public Relations ist Moonpigs Unfähigkeit, das Problem rechtzeitig zu lösen, die Wichtigkeit regelmäßiger Penetrationstests auf Internetseiten, die mit dem Internet verbunden sind, sowie auf die umgehende Reaktion auf Sicherheitshinweise.

Wie Kunden von Sicherheitslücken profitieren können

Es ist nicht klar, ob Moonpig durch diese Sicherheitsanfälligkeit Daten gestohlen wurden. Aufgrund ihrer bisherigen Bemühungen zur Schadensbegrenzung würden sie die Informationen wahrscheinlich auch dann nicht weitergeben, wenn sie vorhanden wären.

Die endlosen Probleme mit der Sicherheit beim Online-Einkauf in den letzten 24 Monaten haben das Vertrauen in die Branche untergraben. Während eBay in dieser Phase zum Beispiel wenig preisgibt (und nie bestätigt hat, wie ihre Daten gehackt wurden), deutet der bemerkenswerte Trend hin zu kostenlosen Einträgen und anderen Boni Mitte 2014 darauf hin, dass viele Benutzer ausblieben.

Kurz vor dem Erlass von Zivilklagen gegen diese Unternehmen können Kunden nur die wirklichen Schritte gegen den eklatanten Missbrauch und die Unsicherheit ihrer Daten unternehmen Bedingungen) ist mit ihren Geldbörsen zu stimmen.

Mit der Explosion bei Kurierdiensten und Drohnenlieferungen, riesigen Lagerhäusern im ganzen Land und riesigen Lieferungen beweist Amazon, wie Kundenaufträge ausgeführt und ihre Daten gesichert werden können (bisher). Andere Unternehmen sollten Amazon als Beispiel verwenden und nicht eine grobe Vorlage, um eine Nachahmung zu versuchen. Andernfalls kann dies nur zum Ende des Online-Shoppings führen - oder zur vollständigen Dominanz von Amazon.

Nur wenn Sie Schritte unternehmen, um anderswo einzukaufen, können wir davon profitieren, dass Online-Shops ihre Verantwortung ernst nehmen.

Online-Shopping noch nicht beenden: Einfach intelligenter einkaufen

In den letzten Jahren haben wir viel zu viele große Namen gehackt. Aber diese Eingriffe und nachfolgende Datenverluste bedeuten nicht, dass Sie Kunde bleiben müssen. Tatsächlich sollten Sie das Gegenteil tun und zu den sichereren Mitbewerbern gehen oder stattdessen vor Ort einkaufen. Wenn Sie erwischt werden und bei einer Website einkaufen, die gehackt ist, könnten Sie auch diese alternativen Optionen in Betracht ziehen. Laden Sie bei Get Hacked ein? Hier ist was Sie tun können, wenn Sie bei Get Hacked einkaufen Hier finden Sie weitere Informationen .

Natürlich haben Sie vielleicht eine bessere Lösung. Verwenden Sie die Kommentare, um sie zu teilen, und verwandte Geschichten, die Sie möglicherweise haben.

Bildnachweis: Online einkaufen bei Shutterstock

Erfahren Sie mehr über: Online-Sicherheit, Online-Shopping.