在线贺卡商店Moonpig至少将客户数据暴露给黑客了15个月,尽管专家警告说有一个漏洞需要塞。
这里有多个课程。第一:公司的傲慢是危险的。第二:对客户进行自我教育很重要,并确保公司正在努力确保他们的安全。第三点:“已知名称"不一定是安全名称。
Moonpig是一家在线贺卡商店,可通过其网站出售定制设计的卡片和杯子。 Moonpig非常受欢迎(由于要进行常规的电视广告投放),因此2007年在英国售出了600万张卡片。而在英国的一家网站(位于伦敦和根西岛的海峡岛),这种情况会影响周围的购物者和在线商店所有者
The Moonpig Hack:发生了什么?
早在2013年,开发人员Paul Price发现Moonpig.com网站上的移动API请求可能会被黑客入侵,从而使犯罪分子能够黑客入侵在任何帐户下订单。此外,还可以查看客户姓名,出生日期,地址,信用卡到期日和信用卡后四位之类的数据。
提供在线购物的网站通常会提供限速器,以减少影响的自动脚本,但Moonpig省略了此操作,从而使它成为黑客的一个简单而开放的目标。
Moonpig最初在2013年中获悉此漏洞,随后宣称将立即修复此漏洞; 18个月后,该漏洞仍然存在。
当他在线发布该漏洞的详细信息时说:
本质上,该用户使用的是基本身份验证,而帐户数据却未经身份验证检查。
p>
在2014年9月Moonpig回应了他的后续联络人并于圣诞节之前将其修复后,Price决定公开发布该骇客内容。当他在1月5日 th 揭示所有内容时,还没有被插入。
Moonpig对黑客的反应
这个故事的教训还不是关于黑客行为的很多知识-它们在在线购物行业中的发生率越来越高-但与公司的态度以及这对消费者的意义有关。
如果考虑到黑客入侵的数量,过去的几年,例如仍无法解释的eBay泄漏'',那么我们可以看到,充其量似乎最好是对在线安全的无知,最糟糕的是自满。
例如,Moonpig的响应新闻:
— Tombpig ?? (@MoonpigUK)2015年1月6日
此限制损害的尝试立即被取消:
-James Seymour-Lock(@JamesSLock)2015年1月6日
除了公共关系灾难之外,Moonpig无法及时处理此问题,这凸显了在面向Internet的网站上定期运行渗透测试以及及时响应安全公告的重要性。
客户如何做到受益于安全漏洞
目前尚不清楚是否有任何数据是通过此漏洞从Moonpig窃取的,并且基于迄今为止的损害限制工作,即使拥有这些信息,他们也可能不会共享信息。
在过去的24个月左右的时间里,在线购物安全问题层出不穷,已经开始削弱人们对该行业的信心。例如,尽管eBay在此阶段几乎没有提供任何帮助(但从未确认过他们的数据是如何被黑客入侵的),但在2014年中期,其向免费列表和其他奖励的显着推动表明,很多用户都没有使用。
对这些公司发起民事诉讼的时间很短,客户可以采取的唯一真正的步骤就是对付数据的公然滥用和不安全(如果您是Moonpig.com客户,则值得检查一下原始数据保护的任何保证)条款和条件)就是用钱包投票。
随着快递服务和无人机交付,全国各地庞大的仓库以及大量交付的爆炸式增长,亚马逊正在证明如何满足客户订单并保持其数据安全(至今)。其他公司应该以亚马逊为例,而不是一个粗糙的模板来尝试模仿。否则,只会导致在线购物的结束或亚马逊的全部优势。
只有采取措施在其他地方购物,我们才能从认真对待自己的责任的在线商店中受益。
请不要退出在线购物:更聪明地购物
在过去的几年中,我们看到太多的大人物被黑。但是这些入侵以及随后的数据泄漏并不意味着您必须保持客户身份。实际上,您应该做相反的事情,前往更安全的竞争对手,或者在本地购物。如果您被发现并在被黑的网站上购物,则还可以考虑以下其他选择。
当然,您可能会有更好的解决方案。因此,请使用评论来分享它以及您可能拥有的任何相关故事。
图片来源:通过Shutterstock在线购物
