Moonpig Video Card Demo - King Kong, Elvis!
Moonpig, ein großer Online-Verkäufer von personalisierten Grußkarten und Geschenken, hat seine mobilen Apps am Dienstag wegen einer Sicherheitsschwäche heruntergefahren, die Hackern Zugang zu Kundeninformationen ermöglicht hätte.
Ein Entwickler namens Paul Price hat Moonpig's API gefunden ( Anwendungsprogrammierschnittstelle), der Online-Dienst, der von den mobilen Apps des Unternehmens zur Interaktion mit seiner Website verwendet wurde, fehlte grundlegende Sicherheitsfunktionen.
Preis festgestellt, dass Anfragen von Moonpig Android-Anwendung auf die API eine statische Reihe von Anmeldeinformationen verwendet, unabhängig von Kundenkonto . Das einzige, was differenzierte Anfragen von verschiedenen Benutzern war eine Kunden-ID in der Anfrage-URL enthalten.
[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]Da die Kundennummern sequenziell und die API nicht waren Eine Authentifizierung könnte - zumindest nicht auf sinnvolle Weise - ein Angreifer Anfragen im Namen aller Kunden senden, indem er verschiedene Kundennummern durchläuft, sagte Price.
Laut der britischen PhotoBox Group, die Moonpig besitzt, ist der Service vorbei 3,6 Millionen aktive Nutzer in Großbritannien, Australien und den USA
"Ein Angreifer kann leicht Bestellungen auf Konten anderer Kunden aufgeben, Karteninformationen hinzufügen / abrufen, gespeicherte Adressen anzeigen, Bestellungen anzeigen und vieles mehr", sagte Prince in einem Blog Post Montag.
Eine API-Methode namens GetCreditCardDetails gab nicht die vollständige Kreditkartennummer des Kunden zurück, sondern gab die letzten vier Ziffern, das Ablaufdatum und den Namen des Besitzers laut Prince zurück. Eine andere Methode gab den Namen, die Adresse, das Land, die E-Mail-Adresse und andere Details des Kunden zurück.
Der Entwickler behauptet, dass er Moonpig vor mehr als einem Jahr, im August 2013, über das Sicherheitsproblem informiert habe, aber dass die Firma sich die Füße schleppte. Deshalb entschied er sich, die Details am Montag an die Öffentlichkeit zu bringen und sagte, das Unternehmen habe "mehr als genug Zeit", um das Problem zu beheben.
"Es scheint, dass die Privatsphäre der Kunden für Moonpig keine Priorität ist", sagte er
Das Unternehmen prüft derzeit das Problem und hat vorsorglich seine Apps heruntergefahren.
"Wir sind uns der Vorwürfe bezüglich der Sicherheit von Kundendaten in unseren Apps bewusst", sagte Moonpig auf seiner Unternehmenswebsite . "Wir können unseren Kunden versichern, dass alle Passwörter und Zahlungsinformationen immer sicher sind und waren. Die Sicherheit Ihres Einkaufserlebnisses bei Moonpig ist uns sehr wichtig und wir untersuchen die Details, die hinter dem heutigen Bericht stehen, als Priorität. "
Moonpig gefährdet Daten von Millionen von Kunden durch unsichere API
Das Unternehmen konnte einen vor mehr als einem Jahr gemeldeten Sicherheitsfehler nicht beheben, sagte ein Entwickler
Apple Q4 2011 Ergebnisse: Verkauf von 17,07 Millionen iPhones, 11,12 Millionen iPads, 6,62 Millionen iPods und 4,89 Millionen Macs
Apple Q4 2011 Ergebnisse: Verkauf von 17,07 Millionen iPhones, 11,12 Millionen iPads, 6,62 Millionen iPods und 4,89 Millionen Macs
