Anuncio

La tienda de tarjetas de felicitación en línea Moonpig expuso los datos de los clientes a los piratas informáticos durante al menos 15 meses, a pesar de las advertencias de un experto de que había un agujero que necesitaba ser tapado.

Hay múltiples lecciones aquí. El primero: la arrogancia corporativa es peligrosa. Segundo: es importante que los clientes se eduquen a sí mismos y se aseguren de que las empresas estén trabajando para mantenerlos seguros. Y el tercero: un "nombre conocido" no es necesariamente seguro.

Moonpig es una tienda de tarjetas de saludos en línea que vende tarjetas y tazas de diseño personalizado a través de su sitio web. Muy popular (gracias a la publicidad televisiva habitual), Moonpig envió 6 millones de tarjetas al Reino Unido en 2007. Si bien es un sitio británico (con sede en Londres y la Isla del Canal de Guernsey), esta es una situación que afecta a los compradores y propietarios de tiendas en línea en todo el mundo.

The Moonpig Hack: ¿Qué pasó?

En 2013, el desarrollador Paul Price descubrió que las solicitudes de API móvil en el sitio web Moonpig.com podían ser pirateadas, lo que permitiría a los piratas informáticos criminales realizar pedidos en cualquier cuenta. Además, se pueden ver datos como nombres de clientes, fecha de nacimiento, dirección, vencimientos de tarjetas de crédito y los últimos cuatro dígitos de la tarjeta.

instagram viewer

muo-security-moonpig-hack-card

Los sitios web que ofrecen compras en línea generalmente ofrecen limitadores de velocidad que reducen el impacto de los scripts automáticos, pero Moonpig omitió hacerlo, lo que lo convierte en un objetivo fácil y abierto para los piratas informáticos.

Inicialmente informado por Price de la vulnerabilidad a mediados de 2013, Moonpig afirmó que lo solucionarían de inmediato; 18 meses después, la vulnerabilidad se mantuvo.

Dijo Price cuando él detalles publicados de la vulnerabilidad en línea:

"He visto algunas medidas de seguridad a medias en mi tiempo, pero esto solo toma la galleta. Quien sea que construya este sistema necesita ser abordado. Cada solicitud de API es así: no hay autenticación en absoluto y puede pasar cualquier ID de cliente para suplantarlas. Un atacante podría realizar fácilmente pedidos en las cuentas de otros clientes, agregar o recuperar información de la tarjeta, ver direcciones guardadas, ver pedidos y mucho más ".

Esencialmente, se usaba la autenticación básica y se revelaban los datos de la cuenta sin verificaciones de autenticación.

Price decidió hacer público el truco después de que Moonpig respondió a su contacto de seguimiento en septiembre de 2014 para tener la solución en Navidad. Cuando reveló todo el 5 de eneroth, aún no se había enchufado.

La reacción de Moonpig al pirateo

La lección de esta historia no es tanto sobre el hackeo, están sucediendo cada vez más en la industria de las compras en línea, sino sobre la actitud de la empresa y lo que esto significa para los consumidores.

Si consideramos el volumen de hacks en los últimos años, como fuga de eBay aún inexplicada La violación de datos de eBay: lo que necesita saber Lee mas y Objetivo perder 40 millones de tarjetas de crédito Target confirma hasta 40 millones de clientes de EE. UU. Tarjetas de crédito potencialmente pirateadasTarget acaba de confirmar que un hack podría haber comprometido la información de la tarjeta de crédito por hasta 40 millones de clientes que han comprado en sus tiendas de EE. UU. Entre el 27 de noviembre y el 15 de diciembre de 2013. Lee mas entonces podemos ver que parece haber, en el mejor de los casos, una ignorancia, en el peor de los casos, una total complacencia hacia la seguridad en línea.

Tomemos, por ejemplo, la respuesta de Moonpig a las noticias:

Somos conscientes de los reclamos relacionados con los datos del cliente y podemos confirmar que toda la información de contraseña y pago es y siempre ha sido segura.

- Tombpig?? (@MoonpigUK) 6 de enero de 2015

Este intento de limitación de daños se llamó de inmediato:

.@MoonpigUK Además de los nombres, las fechas de caducidad y los últimos 4 dígitos que han sido accesibles simplemente a través de su API durante más de 17 meses... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 de enero de 2015

Dejando a un lado el desastre de relaciones públicas, la incapacidad de Moonpig para abordar el problema de manera oportuna pone de manifiesto la importancia de realizar pruebas de penetración periódicas en sitios web orientados a Internet, así como responder a la seguridad avisos puntualmente.

Cómo los clientes pueden beneficiarse de las vulnerabilidades de seguridad

No está claro si se robaron datos de Moonpig a través de esta vulnerabilidad, y en función de sus esfuerzos de limitación de daños hasta el momento, probablemente no compartirían la información incluso si la tuvieran.

Los problemas interminables con la seguridad de las compras en línea en los últimos 24 meses más o menos han comenzado a socavar la confianza en la industria. Si bien eBay está dando poco en esta etapa, por ejemplo (y nunca confirmó cómo se piratearon sus datos) es El notable impulso hacia las listas gratuitas y otras bonificaciones a mediados de 2014 sugiere que muchos usuarios se quedaron lejos.

muo-security-moonpig-hack-card2

A falta de iniciar acciones civiles contra estas compañías, los únicos pasos reales que los clientes pueden tomar contra el flagrante mal uso e inseguridad de sus datos (y si usted es un cliente de Moonpig.com, vale la pena verificar cualquier promesa de seguridad de datos en sus términos y condiciones originales) es votar con sus billeteras

Con la explosión de servicios de mensajería y entregas de drones, grandes almacenes en todo el país y grandes entregas, Amazon está demostrando cómo cumplir con los pedidos de los clientes y mantener sus datos seguros (hasta ahora). Otras compañías deberían usar Amazon como ejemplo, en lugar de una plantilla aproximada para intentar imitar. De lo contrario, solo se puede finalizar la compra en línea, o el dominio total de Amazon.

Solo tomando medidas para comprar en otro lugar podemos beneficiarnos de que las tiendas en línea se tomen en serio sus responsabilidades.

No deje de comprar en línea todavía: solo compre de manera más inteligente

En los últimos años, hemos visto demasiados grandes nombres pirateados. Pero estas intrusiones y las filtraciones de datos posteriores no significan que deba seguir siendo cliente. De hecho, debe hacer lo contrario y dirigirse a los competidores más seguros, o comprar localmente. Si te atrapan y compras en un sitio pirateado, también podrías considere estas opciones alternativas Tienda en la que compra ¿Hackeado? Esto es lo que debe hacer Lee mas .

Por supuesto, podría tener una mejor solución. Así que use los comentarios para compartirlo, y cualquier historia relacionada que pueda tener.

Credito de imagen: Compras en línea a través de Shutterstock

Christian Cawley es editor adjunto de seguridad, Linux, bricolaje, programación y tecnología explicada. También produce el podcast realmente útil y tiene una amplia experiencia en soporte de escritorio y software. Colaborador de la revista Linux Format, Christian es un experto en frambuesa Pi, amante de Lego y fanático de los juegos retro.