Компания Moonpig из Соединенного Королевства, занимающаяся продажей открыток, чашек, футболок и прочих мелочей, была обвинена в некомпетентной реализации мер безопасности. Эксперт утверждает, что при помощи ненадежного API, используемого в их мобильном приложении, можно с легкостью раздобыть данные клиентов и платежей.

В комментарии сайту Threatpost представители Moonpig заявили, что их приложения будут недоступны на время проведения расследования.

«Мы в курсе подобных заявлений, направленных в наш адрес этим утром и касающихся безопасности клиентских данных в наших приложениях, — комментирует представитель Moonpig. — Мы гарантируем, что все пароли и информация о платежах должным образом защищены, и так было всегда, нашим клиентам не о чем беспокоиться. Безопасность шопинга в Moonpig крайне важна для нас, и расследование деталей данного отчета является приоритетной задачей».

Возможно, так оно и есть, но эксперт Пол Прайс (Paul Price), обнародовавший в начале января информацию о брешах в защите Moonpig.com, заявил, что он отправил отчет о своих находках еще 18 августа 2013 года, то есть 17 месяцев назад.

«После переписки по электронной почте они заявили, что займутся исправлением унаследованного кода», — пишет Прайс в своей публикации. Последующий диалог с Moonpig в сентябре показал, что проблема так и не была устранена, однако ему ответили, что все будет сделано до Рождества, утверждает Прайс. В итоге он решил, что у Moonpig было достаточно времени на устранение проблемы.

«Поначалу я планировал подождать, пока они не решат проблему, но с учетом сроков решил опубликовать свои изыскания, чтобы заставить Moonpig заняться устранением брешей в защите персональных данных клиентов (ибо неизвестно, кто еще смог найти подобные бреши), — поясняет Прайс. — 17 месяцев — этого более чем достаточно для устранения подобной проблемы. Как оказалось, безопасность персональной информации клиентов — не главное для Moonpig».

Изыскания Прайса связаны с приложением компании Moonpig и запросами к его API. Прайс привел в пример ряд вопиющих нарушений с аутентификацией и возможностью манипулировать идентификатором клиента компании через параметр URL. Это потенциально позволяет взломщику получить персональные и платежные данные каждого из 3 млн клиентов Moonpig.

«Я совершил сотню проверочных кибератак за короткое время, и меня даже не ограничили по скорости, — сокрушается Прайс. — С учетом того что идентификаторы клиентов последовательны, взломщику не составило бы труда создать базу данных клиентов Moonpig, а также их адресов и информации о банковских картах всего за пару часов — это страшная перспектива».

Используя последовательные ID, то есть выдавая себя за легальных пользователей, атакующий, по словам Прайса, сможет собирать информацию о профиле клиента и его банковской карте, оформлять и просматривать заказы и т.п. Прайс также отметил, что метод API GetCreditCardDetails, которым он воспользовался совместно с тестовым идентификатором клиента, позволил получить последние четыре цифры номера банковской карты и информацию о сроке ее действия и имени клиента.

Прайс также попытался обнаружить скрытые методы API, посылая неизвестный метод. В ответ он получил кастомизированную «ошибку 404» со ссылкой на страницу помощи и списком всех используемых Moonpig методов с описанием каждого.

«Страница помощи также содержит подробности настроек DNS внутренней сети компании, но это уже другая история», — пишет Прайс. Он отметил, что API Moonpig поддерживает авторизацию через OAuth 2.0, которая могла бы закрыть брешь в защите.

Представитель Moonpig не сообщил о дате, когда их приложения снова начнут действовать, но отметил, что сайты для персональных компьютеров и мобильных устройств остались работоспособными.

Изображение использовано с разрешения Ognjen Odobasic

Категории: Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *