La tienda de tarjetas de saludos en línea Moonpig expuso los datos de los clientes a los piratas informáticos durante al menos 15 meses, a pesar de las advertencias de un experto de que había un agujero que debía taparse.
Hay múltiples lecciones aquí. El primero: la arrogancia corporativa es peligrosa. Segundo: es importante que los clientes se eduquen a sí mismos y se aseguren de que las empresas estén trabajando para mantenerlos seguros. Y el tercero: un "nombre conocido" no es necesariamente seguro.
Moonpig es una tienda de tarjetas de saludos en línea que vende tarjetas y tazas de diseño personalizado a través de su sitio web. Muy popular (gracias a la publicidad regular de TV), Moonpig envió 6 millones de tarjetas en el Reino Unido en 2007. Mientras que un sitio británico (con sede en Londres y Channel Island of Guernsey), esta es una situación que afecta a los compradores y propietarios de tiendas online. el mundo.
El Hack Moonpig: ¿Qué sucedió?
Ya en 2013, el desarrollador Paul Price descubrió que las solicitudes de API móvil en el sitio web Moonpig.com podrían ser pirateadas, lo que permitiría a los piratas informáticos hacer pedidos en cualquier cuenta. Además, se pueden ver datos tales como los nombres de los clientes, la fecha de nacimiento, la dirección, los vencimientos de las tarjetas de crédito y los últimos cuatro dígitos de la tarjeta.
Los sitios web que ofrecen compras en línea generalmente brindan limitadores de tarifas que reducen el impacto de las secuencias de comandos automatizadas, pero Moonpig omitió hacerlo, lo que lo convierte en un objetivo fácil y abierto para los piratas informáticos.
Inicialmente informado por Price sobre la vulnerabilidad a mediados de 2013, Moonpig afirmó que lo arreglarían de inmediato; 18 meses después, la vulnerabilidad se mantuvo.
Dijo Price cuando publicó detalles de la vulnerabilidad en línea:
"He visto algunas medidas de seguridad a medias en mi tiempo, pero esto solo toma la galleta. Quien sea que sea el arquitecto de este sistema necesita ser abordado. Cada solicitud de API es así: no hay autenticación en absoluto y puede pasar cualquier ID de cliente para suplantarlos. Un atacante podría fácilmente colocar pedidos en otras cuentas de clientes, agregar o recuperar información de tarjetas, ver direcciones guardadas, ver pedidos y mucho más ".
Básicamente, se utilizaba la autenticación básica y se revelaban los datos de la cuenta sin comprobaciones de autenticación.
Price decidió hacer público el hack después de que Moonpig respondiera a su contacto de seguimiento en septiembre de 2014 para tener la solución implementada para Navidad. Cuando reveló todo el 5 de enero, todavía tenía que ser enchufado.
Reacción de Moonpig al hack
La lección de esta historia no es tanto sobre el truco (están ocurriendo cada vez más en la industria de las compras en línea) sino sobre la actitud de la empresa y lo que esto significa para los consumidores.
Si tenemos en cuenta el volumen de piratería en los últimos años, como por ejemplo, una fuga de eBay aún inexplicable. El incumplimiento de los datos de eBay: lo que usted necesita saber El incumplimiento de los datos de eBay: lo que necesita saber Lea más y apueste por perder 40 millones de tarjetas de crédito Target confirma que hasta 40 millones de clientes estadounidenses Tarjetas de crédito potencialmente pirateadas confirman hasta 40 millones de clientes estadounidenses Tarjetas de crédito potencialmente pirateadas Target acaba de confirmar que un truco podría haber comprometido la información de tarjetas de crédito de hasta 40 millones de clientes que compraron en Estados Unidos. tiendas entre el 27 de noviembre y el 15 de diciembre de 2013. Lea más, entonces, podemos ver que parece haber, en el mejor de los casos, una ignorancia, en el peor de los casos, una total complacencia hacia la seguridad en línea.
Tomemos, por ejemplo, la respuesta Moonpig a las noticias:
Somos conscientes de las reclamaciones sobre los datos del cliente y podemos confirmar que toda la información de contraseñas y pagos es y siempre ha sido segura.
- Moonpig (@MoonpigUK) 6 de enero de 2015
Este intento de limitación de daños fue llamado inmediatamente:
. @ MoonpigUK ¿En serio? ¿Esa es su estrategia para lidiar con ser llamado por su negligencia? Mentir sobre eso?
- Chris Ward (@christopherward) 6 de enero de 2015
. @ MoonpigUK Además de los nombres, las fechas de caducidad y los últimos 4 dígitos a los que se ha accedido simplemente a través de su API durante más de 17 meses ... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6 de enero de 2015
Dejando a un lado el desastre de las relaciones públicas, la incapacidad de Moonpig para abordar el problema de manera oportuna resalta la importancia de las pruebas de penetración de funcionamiento regular en los sitios web que se enfrentan a Internet, así como la respuesta pronta a los avisos de seguridad.
Cómo pueden beneficiarse los clientes de las vulnerabilidades de seguridad
No está claro si se robaron datos de Moonpig a través de esta vulnerabilidad, y de acuerdo con sus esfuerzos de limitación de daños hasta el momento, probablemente no compartirían la información, incluso si la tuvieran.
Los interminables problemas con la seguridad de las compras en línea durante los últimos 24 meses han empezado a socavar la confianza en la industria. Mientras que eBay está dando poco en esta etapa, por ejemplo (y nunca confirmó cómo se piratearon sus datos), su notable impulso hacia los listados gratuitos y otras bonificaciones a mediados de 2014 sugiere que muchos usuarios se mantuvieron alejados.
Aparte de lanzar acciones civiles contra estas compañías, los únicos pasos reales que los clientes pueden tomar contra el uso indebido y la inseguridad flagrante de sus datos (y si usted es un cliente de Moonpig.com, vale la pena verificar cualquier promesa de seguridad de datos en sus términos originales y condiciones) es votar con sus billeteras.
Con la explosión de servicios de mensajería y entregas de drones, vastos almacenes en todo el país y grandes entregas, Amazon está demostrando cómo cumplir con los pedidos de los clientes y mantener sus datos seguros (hasta ahora). Otras compañías deberían usar Amazon como ejemplo, en lugar de una plantilla aproximada para intentar imitar. El hecho de no hacer esto solo puede dar como resultado el final de las compras en línea, o el dominio total de Amazon.
Solo tomando medidas para comprar en otro lugar podemos beneficiarnos de que las tiendas en línea tomen sus responsabilidades en serio.
No deje de comprar en línea todavía: simplemente compre más inteligente
En los últimos años, hemos visto demasiados nombres pirateados. Pero estas intrusiones y filtraciones de datos posteriores no significan que tenga que seguir siendo cliente. De hecho, debe hacer lo contrario y dirigirse a los competidores más seguros, o comprar localmente. Si está atrapado y compra en un sitio que ha sido pirateado, también podría considerar estas opciones alternativas. Store You Shop At Get Hacked? Aquí hay qué hacer Tienda que compra en Get Hacked? Esto es lo que debe hacer Leer más.
Por supuesto, es posible que tenga una mejor solución. Así que usa los comentarios para compartirlo y cualquier historia relacionada que tengas.
Crédito de la imagen: compras en línea a través de Shutterstock