Sécurité

Les failles de sécurité mettent en évidence l’importance de voter avec votre portefeuille

Les failles de sécurité mettent en évidence l’importance de voter avec votre portefeuille / Sécurité

Le magasin de cartes de voeux en ligne Moonpig a exposé les données des clients à des pirates informatiques pendant au moins 15 mois, malgré les avertissements d'un expert signalant la nécessité de colmater un trou.

Il y a plusieurs leçons ici. Le premier: l'arrogance des entreprises est dangereuse. Deuxièmement, il est important que les clients s’instruisent et s’assurent que les entreprises s’efforcent de les protéger. Et le troisième: un “nom connu” n'est pas nécessairement un coffre-fort.

Moonpig est un magasin de cartes de vœux en ligne qui vend des cartes et des tasses personnalisées sur son site Web. Très populaire (grâce à la publicité télévisée régulière), Moonpig a expédié 6 millions de cartes au Royaume-Uni en 2007. Bien qu’un site britannique (basé à Londres et dans l’île anglo-normande de Guernesey), cette situation affecte les acheteurs et les propriétaires de magasins en ligne aux alentours. le monde.

Le piratage de Moonpig: Que s'est-il passé??

En 2013, le développeur Paul Price avait découvert que les requêtes d'API mobiles sur le site Web Moonpig.com pouvaient être piratées, permettant ainsi aux pirates informatiques de passer des commandes sur n'importe quel compte. De plus, des données telles que le nom du client, la date de naissance, l'adresse, les dates d'expiration de la carte de crédit et les quatre derniers chiffres de la carte peuvent être visualisées..

Les sites Web proposant des achats en ligne fournissent généralement des limiteurs de taux qui réduisent l'impact des scripts automatisés, mais Moonpig a omis de le faire, ce qui en fait une cible facile et ouverte pour les pirates.

Informé initialement par Price de la vulnérabilité à la mi-2013, Moonpig a affirmé qu'ils le corrigeraient immédiatement. 18 mois plus tard, la vulnérabilité demeurait.

Price a déclaré lorsqu'il avait publié les détails de la vulnérabilité en ligne:

“J'ai vu des mesures de sécurité à moitié arse à mon époque mais cela ne prend que le biscuit. Quel que soit l'architecte, ce système doit être mis à l'eau. Chaque demande d'API ressemble à ceci: il n'y a aucune authentification et vous pouvez transmettre n'importe quel ID client pour les imiter. Un attaquant pourrait facilement passer commande sur les comptes d'autres clients, ajouter ou récupérer des informations sur les cartes, afficher les adresses enregistrées, afficher les commandes, etc..”

Pour l’essentiel, l’authentification de base était utilisée et les données de compte révélées sans vérification de l’authentification.

Price a décidé de rendre public le piratage après que Moonpig ait répondu à son contact de suivi en septembre 2014 pour que le correctif soit en place d'ici Noël. Quand il a tout révélé le 5 janvierth, il devait encore être branché.

La réaction de Moonpig au piratage

La leçon à tirer de cette histoire ne concerne pas tant le piratage - ils se produisent de plus en plus dans le secteur des achats en ligne - mais plutôt l'attitude de la société et ce que cela signifie pour les consommateurs..

Si nous prenons en compte le volume de piratages au cours des dernières années, tels que la fuite encore inexpliquée sur eBay, la violation de données eBay: ce que vous devez savoir La violation de données eBay: ce que vous devez savoir Lisez plus et cible perdez 40 millions de cartes de crédit Target confirme jusqu'à 40 millions de clients américains sur les cartes de crédit Target potentiellement piraté confirme jusqu'à 40 millions de clients américains sur les cartes de crédit Potentiel piraté Target vient de confirmer qu'un piratage aurait pu compromettre les informations relatives aux cartes de crédit de 40 millions de clients ayant effectué des achats aux États-Unis. entre le 27 novembre et le 15 décembre 2013. Pour en savoir plus, nous pouvons constater qu’il semble exister au mieux une ignorance, au pire une complaisance totale, à l’égard de la sécurité en ligne..

Prenons, par exemple, la réponse de Moonpig aux nouvelles:

Nous sommes au courant des réclamations concernant les données du client et pouvons confirmer que tous les mots de passe et informations de paiement sont et ont toujours été sûrs..

- Tombpig ?? (@MoonpigUK) 6 janvier 2015

Cette tentative de limitation des dommages a été immédiatement appelée:

.@MoonpigUK Outre les noms, les dates d'expiration et les 4 derniers chiffres, accessibles simplement via votre API depuis plus de 17 mois… @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 janvier 2015

Le désastre des relations publiques mis à part, l'incapacité de Moonpig à traiter le problème de manière opportune souligne l'importance des tests de pénétration en cours d'exécution courants sur les sites Web Internet, ainsi que du suivi rapide des avis de sécurité..

Comment les clients peuvent bénéficier des vulnérabilités de sécurité

Il n’est pas clair si des données ont été volées à Moonpig via cette vulnérabilité et, d’après leurs efforts de limitation des dommages jusqu’à présent, ils ne partageraient probablement pas les informations, même s’ils les possédaient..

Les problèmes sans fin liés à la sécurité des achats en ligne au cours des 24 derniers mois ont commencé à saper la confiance dans le secteur. Bien qu'eBay cède peu à ce stade, par exemple (et n'a jamais confirmé comment leurs données ont été piratées), il a fait preuve d'une motivation remarquable en ce qui concerne les annonces gratuites et autres bonus au milieu de 2014, ce qui laisse penser que de nombreux utilisateurs restent à l'écart..

Sauf à engager des poursuites au civil contre ces sociétés, les clients ne peuvent réellement prendre que des mesures contre l'utilisation abusive et l'insécurité flagrantes de leurs données (et si vous êtes un client de Moonpig.com, cela vaut la peine de vérifier les promesses de sécurité des données dans vos conditions initiales. conditions) est de voter avec leurs portefeuilles.

Avec l'explosion des services de messagerie et des livraisons de drones, de vastes entrepôts à travers le pays et de vastes livraisons, Amazon prouve qu'il est possible de répondre aux commandes des clients et de protéger leurs données (jusqu'à présent). D'autres sociétés devraient utiliser Amazon comme exemple, plutôt qu'un modèle approximatif pour tenter de l'imiter. Ne pas le faire ne peut qu'entraîner la fin des achats en ligne - ou la domination totale d'Amazon.

Ce n’est qu’en prenant des mesures pour faire des achats ailleurs que nous pourrons profiter des boutiques en ligne qui prennent leurs responsabilités au sérieux..

Ne quittez pas encore les achats en ligne: faites des achats plus intelligents

Au cours des deux dernières années, nous avons vu beaucoup trop de grands noms piratés. Mais ces intrusions et les fuites de données qui en résultent ne signifient pas que vous deviez rester client. En fait, vous devriez faire le contraire et vous diriger vers les concurrents les plus sûrs, ou acheter localement à la place. Si vous êtes pris au dépourvu et que vous magasinez sur un site piraté, vous pouvez également envisager ces options alternatives. Magasin Vous magasinez chez Obtenez piraté? Voici ce qu'il faut faire Vous magasinez chez Get Hacked? Voici ce qu'il faut faire Lire plus .

Bien sûr, vous pourriez avoir une meilleure solution. Alors utilisez les commentaires pour les partager, et toutes les histoires que vous pourriez avoir.

Crédit d'image: Shopping en ligne via Shutterstock

En savoir plus sur: la sécurité en ligne, les achats en ligne.