Los fallos de seguridad resaltan la importancia de votar con su billetera
La tienda de tarjetas de saludos en línea Moonpig expuso los datos del cliente a piratas informáticos durante al menos 15 meses, a pesar de las advertencias de un experto de que había un agujero que debía ser tapado.
Hay múltiples lecciones aquí. La primera: la arrogancia corporativa es peligrosa. Segundo: es importante que los clientes se eduquen y se aseguren de que las compañías estén trabajando para mantenerlos seguros. Y el tercero: un “nombre conocido” no es necesariamente seguro.
Moonpig es una tienda de tarjetas de saludos en línea que vende tarjetas y tazas de diseño personalizado a través de su sitio web. Muy popular (gracias a la publicidad televisiva habitual), Moonpig envió 6 millones de tarjetas en el Reino Unido en 2007. Aunque es un sitio británico (con sede en Londres y en la Isla del Canal de Guernsey), esta es una situación que afecta a compradores y propietarios de tiendas en línea. el mundo.
The Moonpig Hack: What Happened?
En 2013, el desarrollador Paul Price descubrió que las solicitudes de API móvil en el sitio web Moonpig.com podían ser pirateadas, lo que permitía a los piratas informáticos criminales realizar pedidos en cualquier cuenta. Además, se pueden ver datos como los nombres de los clientes, la fecha de nacimiento, la dirección, los vencimientos de las tarjetas de crédito y los últimos cuatro dígitos de la tarjeta..
Los sitios web que ofrecen compras en línea generalmente proporcionan limitadores de tasa que reducen el impacto de los scripts automatizados, pero Moonpig omite hacer esto, lo que lo convierte en un objetivo fácil y abierto para los piratas informáticos..
Inicialmente informado por Price de la vulnerabilidad a mediados de 2013, Moonpig afirmó que lo arreglarían de inmediato; 18 meses después, la vulnerabilidad se mantuvo..
Dicho precio cuando publicó los detalles de la vulnerabilidad en línea:
“He visto algunas medidas de seguridad a medias en mi tiempo, pero esto solo toma la galleta. Quien quiera que sea el arquitecto de este sistema necesita ser waterboarded. Cada solicitud de API es así: no hay autenticación en absoluto y puede pasar cualquier ID de cliente para suplantarla. Un atacante podría colocar fácilmente pedidos en las cuentas de otros clientes, agregar o recuperar información de la tarjeta, ver direcciones guardadas, ver pedidos y mucho más.”
Esencialmente, se estaba utilizando la autenticación básica y los datos de la cuenta se revelaron sin verificación de autenticación.
Price decidió hacer público el hackeo después de que Moonpig respondiera a su contacto de seguimiento en septiembre de 2014 para tener la solución en su lugar antes de Navidad. Cuando reveló todo el 5 de enero.th, aún no había sido enchufado.
Reacción de Moonpig al Hack
La lección de esta historia no es tanto sobre el hackeo, están ocurriendo cada vez más en la industria de las compras en línea, sino sobre la actitud de la empresa y lo que esto significa para los consumidores..
Si consideramos el volumen de hacks en los últimos dos años, como una filtración de eBay aún inexplicable La violación de datos de eBay: lo que necesita saber La violación de datos de eBay: lo que necesita saber Lea más y apunte a perder 40 millones de tarjetas de crédito Target confirma hasta 40 millones de tarjetas de crédito de clientes de EE. UU. Target posiblemente confirma hasta 40 millones de tarjetas de crédito de clientes de EE. UU. Potencialmente pirateado Target acaba de confirmar que un hack podría haber comprometido la información de la tarjeta de crédito de hasta 40 millones de clientes que han comprado en sus EE. UU. almacena entre el 27 de noviembre y el 15 de diciembre de 2013. Lea más, entonces podemos ver que parece haber, en el mejor de los casos, una ignorancia, en el peor de los casos, una total complacencia, hacia la seguridad en línea..
Tomemos, por ejemplo, la respuesta de Moonpig a la noticia:
Estamos al tanto de las reclamaciones sobre los datos del cliente y podemos confirmar que toda la información de pago y contraseña es y siempre ha sido segura.
- Tombpig ?? (@MoonpigUK) 6 de enero de 2015
Este intento de limitar el daño fue llamado de inmediato:
.@MoonpigUK Aparte de los nombres, las fechas de caducidad y los últimos 4 dígitos a los que se ha podido acceder simplemente a través de su API durante más de 17 meses ... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6 de enero de 2015
Dejando a un lado el desastre de las relaciones públicas, la incapacidad de Moonpig para abordar el problema de manera oportuna resalta la importancia de las pruebas regulares de penetración en los sitios web de Internet, así como la respuesta a los avisos de seguridad con prontitud.
Cómo los clientes pueden beneficiarse de las vulnerabilidades de seguridad
No está claro si algún dato fue robado de Moonpig a través de esta vulnerabilidad, y debido a sus esfuerzos de limitación de daños hasta el momento, probablemente no compartirían la información, incluso si la tuvieran..
Los interminables problemas con la seguridad de las compras en línea durante los últimos 24 meses más o menos han comenzado a socavar la confianza en la industria. Si bien eBay está regalando poco en esta etapa, por ejemplo (y nunca confirmó cómo se piratearon sus datos), es notable el impulso hacia las listas gratuitas y otras bonificaciones a mediados de 2014, lo que sugiere que muchos usuarios se mantuvieron alejados.
Aparte de iniciar acciones civiles contra estas compañías, los únicos pasos reales que los clientes pueden tomar contra el flagrante uso indebido e inseguridad de sus datos (y si usted es un cliente de Moonpig.com, vale la pena verificar las promesas de seguridad de los datos en sus términos y condiciones originales). Condiciones) es votar con sus billeteras..
Con la explosión de los servicios de mensajería y entregas de aviones no tripulados, vastos almacenes en todo el país y vastas entregas, Amazon está demostrando cómo cumplir con los pedidos de los clientes y mantener sus datos seguros (hasta ahora). Otras compañías deberían usar Amazon como ejemplo, en lugar de una plantilla aproximada para intentar imitar. No hacer esto solo puede resultar en el final de las compras en línea o en el dominio total de Amazon.
Solo tomando medidas para comprar en otro lugar podemos beneficiarnos de que las tiendas en línea tomen sus responsabilidades con seriedad.
No abandone las compras en línea: compre de manera más inteligente
En los últimos dos años hemos visto demasiados grandes nombres pirateados. Pero estas intrusiones, y las subsiguientes fugas de datos, no significan que tenga que seguir siendo un cliente. De hecho, debe hacer lo contrario y dirigirse a los competidores más seguros, o comprar localmente, en su lugar. Si te descubren y compran en un sitio pirateado, también deberías considerar estas opciones alternativas ¿Comprar en que te hackeas? ¿Qué es lo que debes hacer para comprar en una tienda hackeada? Esto es lo que debe hacer Leer más .
Por supuesto, usted podría tener una mejor solución. Así que usa los comentarios para compartirlo, y cualquier historia relacionada que puedas tener.
Crédito de la imagen: compras en línea a través de Shutterstock
Explorar más sobre: Seguridad en línea, Compras en línea.