Iklan

Toko kartu ucapan online, Moonpig, mengekspos data pelanggan ke peretas setidaknya selama 15 bulan, meskipun ada peringatan dari seorang ahli bahwa ada lubang yang perlu dicolokkan.

Ada banyak pelajaran di sini. Yang pertama: kesombongan perusahaan itu berbahaya. Kedua: penting bagi pelanggan untuk mendidik diri mereka sendiri, dan memastikan perusahaan bekerja untuk menjaga mereka tetap aman. Dan yang ketiga: "nama yang dikenal" tidak selalu aman.

Moonpig adalah toko kartu ucapan online yang menjual kartu dan mug yang dirancang khusus melalui situs web mereka. Sangat populer (berkat iklan TV biasa), Moonpig mengirim 6 juta kartu di Inggris pada tahun 2007. Sementara situs Inggris (berbasis di London dan Channel Island of Guernsey), ini adalah situasi yang mempengaruhi pembeli dan pemilik toko online di seluruh dunia.

Peretas Moonpig: Apa yang Terjadi?

Kembali pada tahun 2013, pengembang Paul Price menemukan bahwa permintaan API seluler di situs web Moonpig.com dapat diretas, sehingga memungkinkan peretas kriminal untuk melakukan pemesanan pada akun apa pun. Selain itu, Data seperti nama pelanggan, tanggal lahir, alamat, masa berlaku kartu kredit, dan empat digit terakhir kartu dapat dilihat.

muo-security-moonpig-hack-card

Situs web yang menawarkan belanja online biasanya menyediakan pembatas tarif yang mengurangi dampak skrip otomatis, tetapi Moonpig dihilangkan untuk melakukan ini, menjadikannya sasaran empuk bagi peretas yang mudah dan terbuka.

Awalnya diinformasikan oleh Price tentang kerentanan pada pertengahan 2013, Moonpig mengklaim bahwa mereka akan segera memperbaikinya; 18 bulan kemudian, kerentanan tetap ada.

Kata Price saat dia rincian kerentanan yang dipublikasikan on line:

“Saya telah melihat beberapa langkah keamanan setengah-arsen di waktu saya, tetapi ini hanya mengambil biskuit. Siapa pun arsitek sistem ini perlu ditularkan melalui air. Setiap permintaan API adalah seperti ini: tidak ada otentikasi sama sekali dan Anda dapat memasukkan ID pelanggan apa pun untuk menyamar sebagai mereka. Seorang penyerang dapat dengan mudah melakukan pemesanan pada akun pelanggan lain, menambah atau mengambil informasi kartu, melihat alamat yang disimpan, melihat pesanan dan banyak lagi. "

Pada dasarnya, otentikasi dasar sedang digunakan dan data akun terungkap tanpa pemeriksaan otentikasi.

Price memutuskan untuk go public dengan peretasan setelah Moonpig menanggapi kontak tindak lanjutnya pada September 2014 untuk memperbaikinya sebelum Natal. Saat dia mengungkapkan semuanya pada 5 Januarith, masih belum terpasang.

Reaksi Moonpig Terhadap Peretasan

Pelajaran dari kisah ini bukan tentang hacking - mereka semakin sering terjadi di industri belanja online - tetapi tentang sikap perusahaan, dan apa artinya ini bagi konsumen.

Jika kami mempertimbangkan volume peretasan selama beberapa tahun terakhir, seperti kebocoran eBay yang masih belum bisa dijelaskan Pelanggaran Data eBay: Yang Perlu Anda Ketahui Baca lebih banyak dan Target kehilangan 40 juta kartu kredit Target Mengonfirmasi Hingga 40 Juta Pelanggan AS Kartu Kredit Yang Berpotensi DiretasTarget baru saja mengkonfirmasi bahwa peretasan dapat membahayakan informasi kartu kredit hingga saat ini 40 juta pelanggan yang berbelanja di toko-toko di AS antara 27 November dan 15 Desember 2013. Baca lebih banyak maka kita dapat melihat bahwa tampaknya ada ketidaktahuan, paling tidak berpuas diri, terhadap keamanan online.

Ambil, misalnya, respons Moonpig terhadap berita:

Kami mengetahui data pelanggan kembali klaim dan dapat mengonfirmasi bahwa semua kata sandi dan informasi pembayaran adalah dan selalu aman.

- Tombpig?? (@MoonpigUK) 6 Januari 2015

Upaya pembatasan kerusakan ini segera dipanggil:

.@MoonpigUK Terlepas dari nama, tanggal kedaluwarsa & 4 digit terakhir yang telah dapat diakses hanya melalui API Anda selama lebih dari 17 bulan... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 Januari 2015

Selain bencana Hubungan Masyarakat, ketidakmampuan Moonpig untuk menangani masalah ini tepat waktu menyoroti hal tersebut pentingnya uji penetrasi yang berjalan secara teratur di situs-situs Internet yang menghadapi, serta menanggapi keamanan saran segera.

Bagaimana Pelanggan Dapat Mendapatkan Manfaat Dari Kerentanan Keamanan

Tidak jelas apakah ada data yang dicuri dari Moonpig melalui kerentanan ini, dan berdasarkan upaya pembatasan kerusakan mereka sejauh ini mereka mungkin tidak akan membagikan informasi bahkan jika mereka memilikinya.

Masalah tak berujung dengan keamanan belanja online selama 24 bulan terakhir telah mulai merusak kepercayaan di industri. Sementara eBay memberi sedikit pada tahap ini, misalnya (dan tidak pernah mengkonfirmasi bagaimana data mereka diretas) itu dorongan luar biasa menuju daftar gratis dan bonus lainnya selama pertengahan 2014 menunjukkan banyak pengguna yang bertahan jauh.

muo-security-moonpig-hack-card2

Pendek dari meluncurkan tindakan sipil terhadap perusahaan-perusahaan ini, satu-satunya langkah nyata yang dapat diambil pelanggan terhadap penyalahgunaan dan ketidakamanan data mereka yang mencolok (dan jika Anda adalah pelanggan Moonpig.com, ada baiknya memeriksa janji keamanan data apa pun dalam syarat dan ketentuan asli Anda) adalah memilih dengan dompet.

Dengan ledakan dalam layanan kurir dan pengiriman drone, gudang besar di seluruh negeri dan pengiriman besar, Amazon membuktikan bagaimana memenuhi pesanan pelanggan dan menjaga data mereka aman (sejauh ini). Perusahaan lain harus menggunakan Amazon sebagai contoh, alih-alih templat kasar untuk meniru. Kegagalan untuk melakukan ini hanya dapat mengakibatkan berakhirnya belanja online - atau dominasi total Amazon.

Hanya dengan mengambil langkah untuk berbelanja di tempat lain, kita dapat mengambil manfaat dari toko online yang menganggap serius tanggung jawabnya.

Jangan Berhenti Berbelanja Online: Hanya Berbelanja Lebih Cerdas

Selama beberapa tahun terakhir kami telah melihat terlalu banyak nama besar yang diretas. Tetapi gangguan ini, dan kebocoran data selanjutnya, tidak berarti Anda harus tetap menjadi pelanggan. Bahkan, Anda harus melakukan yang sebaliknya dan menuju pesaing yang lebih aman, atau berbelanja secara lokal. Jika Anda ketahuan dan berbelanja di situs yang diretas, Anda mungkin juga pertimbangkan opsi-opsi alternatif ini Toko Anda Berbelanja Di Peretasan? Inilah Yang Harus Dilakukan Baca lebih banyak .

Tentu saja, Anda mungkin punya solusi yang lebih baik. Jadi gunakan komentar untuk membagikannya, dan cerita terkait lainnya yang mungkin Anda miliki.

Kredit Gambar: Berbelanja online melalui Shutterstock

Christian Cawley adalah Wakil Editor untuk Keamanan, Linux, DIY, Pemrograman, dan Penjelasan Teknologi. Ia juga memproduksi The Really Useful Podcast dan memiliki pengalaman luas dalam dukungan desktop dan perangkat lunak. Sebagai kontributor majalah Linux Format, Christian adalah seorang penggerutu Raspberry Pi, pencinta Lego dan penggemar game retro.