Canecas personalizadas e tat outfit Moonpig tem uma falha signficant que que expõe registros pessoais e detalhes parciais de cartão de crédito para alguns de três milhões de clientes, quase 18 meses depois de ter sido relatado.
A falha, descoberta e comunicada de forma privada por desenvolvedor Paul Preço, quis dizer cada conta e os nomes, datas de nascimento, e-mail e endereços de rua pode ser acessado através do número de identificação do cliente enviados em uma solicitação de API.
Encomendas podem ser colocados em qualquer conta. Cartão de crédito e datas de validade últimos quatro dígitos poderiam ser arrancados usando uma API inseguro calhar.
Limitadores de taxa de-rebentando Script foram longe de ser visto tornando-se uma vaca de dinheiro para chapéus pretos, vândalos e seus bots.
Foi no momento em que escrevo trending no Twitter em todo o Reino Unido com a pontuação de chamada para os clientes para embaralhar seus dados pessoais no site desde encerramento da conta apareceu possível somente por telefone.
Preço puxado menos socos em um boletim publicado online.
"Eu já vi algumas medidas arsed-meia de segurança no meu tempo, mas isso só leva o biscuit. Quem arquiteto este sistema precisa ser afogado," Price disse .
"Cada pedido API é assim: não há nenhuma autenticação em tudo e você pode passar em qualquer identificação do cliente para representá-los.
"Um invasor pode facilmente colocar ordens em outras contas de clientes, adicionar ou recuperar informações de cartão, exibição salva endereços, ver ordens e muito mais."
Moonpig foi notificado da falha, em agosto de 2013 e prometeu em setembro deste ano depois de um follow-up por Preço para corrigi-lo até o Natal. Manteve-se abrir imediatamente antes da publicação.
A empresa não respondeu imediatamente a um pedido de comentário, mas verificou-se que as APIs expostas foram fechadas.
Ele não pareceu ter respondido a reclamações de clientes sobre mídia social.
"Inicialmente eu ia esperar até que eles fixaram seus endpoints ao vivo, mas dado os prazos eu decidi publicar este post para forçar Moonpig para corrigir o problema e proteger a privacidade de seus clientes", disse Price.
"[Sobre] 17 meses é mais do que tempo suficiente para corrigir um problema como este. Parece privacidade do cliente não é uma prioridade para Moonpig." ®
Nenhum comentário:
Postar um comentário