Online hälsningskortaffär Moonpig exponerade kunddata till hackare i minst 15 månader, trots varningar från en expert att det fanns ett hål som behövde anslutas.
Det finns flera lektioner här. Den första: företagets arrogans är farlig. För det andra: Det är viktigt för kunder att utbilda sig själva och se till att företagen arbetar för att hålla dem säkra. Och det tredje: ett "känt namn" är inte nödvändigtvis en säker.
Moonpig är en online hälsningskort butik som säljer skräddarsydda kort och muggar via deras hemsida. Många populära (tack vare vanlig tv-reklam) skickade Moonpig 6 miljoner kort i Storbritannien under 2007. Medan en brittisk webbplats (baserad i London och Channel Island of Guernsey) är detta en situation som påverkar kunder och butiksägare runt världen.
Moonpig Hack: Vad hände?
Bakom 2013 upptäckte utvecklaren Paul Price att mobila API-förfrågningar på Moonpig.com-webbplatsen skulle kunna hackas, vilket gör det möjligt för brottsliga hackare att lägga order på något konto. Dessutom kan data som kundnamn, födelsedatum, adress, kreditkortsutgångar och de fyra sista siffrorna i kortet ses.
Webbplatser som erbjuder online-shopping ger vanligtvis prisbegränsare som minskar effekten av automatiserade skript, men Moonpig utelämnas för att göra det, vilket gör det enkelt, öppet mål för hackare.
Inledningsvis informerat av Pris av sårbarheten i mitten av 2013 hävdade Moonpig att de skulle ordna det med en gång. 18 månader senare var sårbarheten kvar.
Nämnda pris när han publicerade detaljer om sårbarheten online:
"Jag har sett några halvarsatta säkerhetsåtgärder under min tid men det tar bara kakan. Den som arkitekten här systemet behöver vara waterboarded. Varje API-förfrågan är så här: det finns ingen autentisering alls och du kan överföra i något kund-ID för att efterlikna dem. En angripare kan enkelt placera order på andra kundkonton, lägga till eller hämta kortinformation, visa sparade adresser, visa beställningar och mycket mer. "
I grunden användes grundläggande autentisering och kontouppgifter avslöjades utan autentiseringskontroller.
Priset bestämdes för att bli offentligt med hacken efter att Moonpig svarat på sin uppföljningskontakt i september 2014 för att få fixa på plats till jul. När han avslöjade allt den 5 januari hade det ännu inte anslutits.
Moonpigs Reaction To The Hack
Läran i den här historien handlar inte så mycket om hacken - de sker alltmer i online-shoppingbranschen - men om företagets attityd och vad det betyder för konsumenterna.
Om vi överväger volymen av hackar under de senaste åren, till exempel en oförklarlig eBay-läcka. EBay-dataöverträdelsen: Vad du behöver veta eBay-dataöverträdelsen: Vad du behöver veta Läs mer och Target att förlora 40 miljoner kreditkort Målet bekräftar upp till 40 miljoner amerikanska kunder Kreditkort Potentiellt Hacked Target bekräftar upp till 40 miljoner amerikanska kunder Kreditkort Potentiellt Hacked Target har bara bekräftat att ett hack kunde ha äventyrat kreditkortsinformationen för upp till 40 miljoner kunder som har handlat i USA lagrar mellan 27 november och 15 december 2013. Läs mer då vi kan se att det verkar vara i bästa fall en okunnighet, i värsta fall fullständig självkänsla, mot onlinesäkerhet.
Ta till exempel Moonpig-svaret på nyheterna:
Vi är medvetna om krav på kunddata och kan bekräfta att allt lösenord och betalningsinformation är och har alltid varit säkert.
- Moonpig (@MoonpigUK) 6 januari 2015
Detta försök till skada begränsades omedelbart:
. @ MoonpigUK Verkligen? Det är din strategi att hantera med att bli kallad för din försummelse? Lie om det?
- Chris Ward (@christopherward) 6 januari 2015
. @ MoonpigUK Bortsett från namn, utgångsdatum och sista 4 siffror som har blivit tillgängliga enkelt via ditt API i över 17 månader ... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6 januari 2015
Public Relations katastrof åt sidan, Moonpigs oförmåga att ta itu med frågan i tid framhäver betydelsen av regelbundna löpande penetrationstest på Internet-relaterade webbplatser, samt att snabbt svara på säkerhetsrådgivning.
Hur kunder kan dra nytta av säkerhetsproblem
Det är inte klart om någon data stulits från Moonpig via denna sårbarhet, och baserat på deras begränsningsinsatser hittills har de förmodligen inte delat informationen även om de hade det.
De oändliga problemen med online shopping säkerhet under de senaste 24 månaderna har börjat undergräva förtroendet för branschen. Samtidigt som eBay ger lite bort i det här skedet, till exempel (och aldrig bekräftat hur deras data hackades) är det anmärkningsvärt köra mot gratisförteckningar och andra bonusar i mitten av 2014 föreslår att många användare stannade borta.
Kort om att sätta igång civila åtgärder mot dessa företag kan de enda riktiga steg kunderna ta emot den flagranta missbruket och osäkerheten i deras data (och om du är en Moonpig.com-kund är det värt att kolla på löften om datasäkerhet enligt dina ursprungliga villkor och villkor) är att rösta med sina plånböcker.
Med explosionen i budtjänster och drone-leveranser, stora lager runt om i landet och stora leveranser, visar Amazon hur man ska uppfylla kundorder och hålla sina uppgifter säkra (hittills). Andra företag ska använda Amazon som ett exempel, snarare än en grov mall för att försöka efterlikna. Underlåtenhet att göra detta kan bara resultera i slutet av online shopping - eller Amazonas totala dominans.
Bara genom att vidta åtgärder för att handla på andra ställen kan vi dra nytta av nätbutiker som tar sitt ansvar seriöst.
Avsluta inte Online Shopping än: Bara Shop Smarter
Under de senaste åren har vi sett alltför många stora namn hackade. Men dessa intrång och efterföljande data läcker betyder inte att du måste vara en kund. Faktum är att du borde göra motsatsen och leda till de säkrare konkurrenterna, eller istället handla lokalt. Om du fångas ut och handlar på en sajt som är hackad, kan du också överväga dessa alternativa alternativ. Store du handlar om att bli hackad? Här är vad du ska göra butiken du handlar om att bli hackad? Här är vad du ska göra Läs mer.
Självklart kanske du har en bättre lösning. Så använd kommentarerna för att dela den och eventuella relaterade historier du kan ha.
Bildkredit: Köp online via Shutterstock