Pagina principal Seguridad Las fallas de seguridad resaltan la importancia de votar con su billetera

Las fallas de seguridad resaltan la importancia de votar con su billetera

  • Edmund Richardson
  • 0
  • 2834
  • 61
Anuncio

La tienda de tarjetas de felicitación en línea Moonpig expuso los datos de los clientes a los piratas informáticos durante al menos 15 meses, a pesar de las advertencias de un experto de que había un agujero que necesitaba ser tapado.

Hay múltiples lecciones aquí. El primero: la arrogancia corporativa es peligrosa. Segundo: es importante que los clientes se eduquen y se aseguren de que las empresas estén trabajando para mantenerlos seguros. Y el tercero: un “nombre conocido” no es necesariamente seguro.

Moonpig es una tienda de tarjetas de felicitación en línea que vende tarjetas y tazas de diseño personalizado a través de su sitio web. Muy popular (gracias a la publicidad televisiva habitual), Moonpig envió 6 millones de tarjetas en el Reino Unido en 2007. Si bien es un sitio británico (con sede en Londres y la Isla del Canal de Guernsey), esta es una situación que afecta a los compradores y propietarios de tiendas en línea. el mundo.

The Moonpig Hack: Lo que sucedió?

En 2013, el desarrollador Paul Price descubrió que las solicitudes de API móvil en el sitio web Moonpig.com podían ser pirateadas, lo que permitiría a los piratas informáticos criminales realizar pedidos en cualquier cuenta. Además, se pueden ver datos como nombres de clientes, fecha de nacimiento, dirección, vencimientos de tarjetas de crédito y los últimos cuatro dígitos de la tarjeta..

Los sitios web que ofrecen compras en línea generalmente proporcionan limitadores de velocidad que reducen el impacto de los scripts automáticos, pero Moonpig omitió hacerlo, lo que lo convierte en un objetivo fácil y abierto para los piratas informáticos.

Inicialmente informado por Price de la vulnerabilidad a mediados de 2013, Moonpig afirmó que lo solucionarían de inmediato; 18 meses después, la vulnerabilidad se mantuvo.

Dijo Price cuando publicó detalles de la vulnerabilidad en línea:

“He visto algunas medidas de seguridad a medias en mi tiempo, pero esto solo toma el bizcocho. Quien sea que construya este sistema necesita ser abordado. Cada solicitud de API es así: no hay autenticación en absoluto y puede pasar cualquier ID de cliente para hacerse pasar por ellos. Un atacante podría realizar fácilmente pedidos en las cuentas de otros clientes, agregar o recuperar información de la tarjeta, ver direcciones guardadas, ver pedidos y mucho más.”

Esencialmente, se estaba utilizando la autenticación básica y se revelaron los datos de la cuenta sin verificaciones de autenticación.

Price decidió hacer público el truco después de que Moonpig respondió a su contacto de seguimiento en septiembre de 2014 para tener la solución en Navidad. Cuando reveló todo el 5 de eneroth, aún no se había enchufado.

La reacción de Moonpig al pirateo

La lección de esta historia no es tanto sobre el hackeo, están sucediendo cada vez más en la industria de las compras en línea, sino sobre la actitud de la empresa y lo que esto significa para los consumidores..

Si consideramos el volumen de hacks en los últimos años, como la fuga de eBay aún inexplicada La violación de datos de eBay: lo que necesita saber La violación de datos de eBay: lo que necesita saber y la meta de perder 40 millones de tarjetas de crédito Target Confirms Hasta 40 millones de tarjetas de crédito de clientes estadounidenses potencialmente pirateadas Target confirma Hasta 40 millones de tarjetas de crédito de clientes estadounidenses potencialmente pirateadas Target acaba de confirmar que un pirateo podría haber comprometido la información de la tarjeta de crédito para hasta 40 millones de clientes que han comprado en sus tiendas de EE. UU. 27 de noviembre y 15 de diciembre de 2013. entonces podemos ver que parece haber, en el mejor de los casos, una ignorancia, en el peor de los casos, una total complacencia hacia la seguridad en línea..

Tomemos, por ejemplo, la respuesta de Moonpig a las noticias:

Somos conscientes de los reclamos relacionados con los datos del cliente y podemos confirmar que toda la información de contraseña y pago es y siempre ha sido segura.

- Tombpig ?? (@MoonpigUK) 6 de enero de 2015

Este intento de limitación de daños se llamó de inmediato:

.@MoonpigUK Además de los nombres, las fechas de caducidad y los últimos 4 dígitos que han sido accesibles simplemente a través de su API durante más de 17 meses ... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 de enero de 2015

Dejando a un lado el desastre de Relaciones Públicas, la incapacidad de Moonpig para abordar el problema de manera oportuna pone de relieve la importancia de realizar pruebas de penetración en los sitios web de Internet, así como responder a los avisos de seguridad de inmediato.

Cómo los clientes pueden beneficiarse de las vulnerabilidades de seguridad

No está claro si se robaron datos de Moonpig a través de esta vulnerabilidad, y en función de sus esfuerzos de limitación de daños hasta el momento, probablemente no compartirían la información incluso si la tuvieran.

Los problemas interminables con la seguridad de las compras en línea en los últimos 24 meses más o menos han comenzado a socavar la confianza en la industria. Si bien eBay está dando poco en esta etapa, por ejemplo (y nunca confirmó cómo se piratearon sus datos), su notable impulso hacia listados gratuitos y otras bonificaciones a mediados de 2014 sugiere que muchos usuarios se mantuvieron alejados.

Antes de iniciar acciones civiles contra estas empresas, los únicos pasos reales que los clientes pueden tomar contra el uso flagrante y la inseguridad de sus datos (y si usted es un cliente de Moonpig.com, vale la pena verificar cualquier promesa de seguridad de datos en sus términos originales y condiciones) es votar con sus billeteras.

Con la explosión de servicios de mensajería y entregas de drones, grandes almacenes en todo el país y grandes entregas, Amazon está demostrando cómo cumplir con los pedidos de los clientes y mantener sus datos seguros (hasta ahora). Otras compañías deberían usar Amazon como ejemplo, en lugar de una plantilla aproximada para intentar imitar. De lo contrario, solo se puede finalizar la compra en línea, o el dominio total de Amazon.

Solo tomando medidas para comprar en otro lugar podemos beneficiarnos de que las tiendas en línea se tomen en serio sus responsabilidades.

No deje de comprar en línea todavía: solo compre de manera más inteligente

En los últimos años, hemos visto demasiados grandes nombres pirateados. Pero estas intrusiones y las filtraciones de datos posteriores no significan que deba seguir siendo cliente. De hecho, debe hacer lo contrario y dirigirse a los competidores más seguros, o comprar localmente. Si te descubren y compras en un sitio que está pirateado, también puedes considerar estas opciones alternativas ¿Almacenar en el que compras? Esto es lo que debe hacer en la tienda en la que compra. Esto es lo que debe hacer .

Por supuesto, podría tener una mejor solución. Así que usa los comentarios para compartirlo y cualquier historia relacionada que puedas tener.

Crédito de imagen: compras en línea a través de Shutterstock




Nadie ha comentado sobre este artículo todavía.

CCleaner estuvo distribuyendo malware durante un mes
Noticias tecnológicas
Facebook lanza un nuevo centro de respuesta a la crisis para agilizar los esfuerzos de ayuda durante los grandes desastres
Noticias tecnológicas
Chrome finalmente agrega bloqueo de video de reproducción automática; Capacidad para silenciar sitios enteros
Noticias tecnológicas
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.