Moonpig은 안전하지 않은 API를 통해 수백만 고객의 데이터를 위험에 빠뜨립니다.

Personalized 인사 장과 선물의 대형 온라인 판매자 인 Moonpig은 해커가 고객 정보에 액세스 할 수있는 보안 약점 때문에 화요일 모바일 앱을 종료했습니다.

Paul Price라는 개발자는 Moonpig의 API 애플리케이션 프로그래밍 인터페이스)은 웹 사이트와 상호 작용하기 위해 회사의 모바일 앱에서 사용하는 온라인 서비스로 기본 보안 기능이 부족했습니다.

Moonpig의 Android 애플리케이션에서 API에 대한 요청이 고객 계정과 상관없이 정적 자격 증명 집합을 사용하는 것으로 판명 된 가격 . 다른 사용자의 요청을 차별화하는 유일한 방법은 요청 URL에 고객 ID가 포함 된 것입니다.

[추가 정보 : Windows PC에서 멀웨어를 제거하는 방법]

고객 ID가 순차적이며 API가 모든 사용자를 대신하여 다른 고객 ID를 통해 요청을 보낼 수있다 "고 말했다.

Moonpig를 소유하고있는 영국의 PhotoBox Group에 따르면이 서비스는 영국, 오스트레일리아 및 미국에서 360 만 명의 활동중인 사용자

"공격자는 다른 고객의 계좌에 주문을하고 카드 정보를 추가 / 검색하고 저장된 주소를보고 주문을 보는 등 많은 일을 할 수 있습니다."

GetCreditCardDetails라는 API 메소드 중 하나가 고객의 전체 신용 카드 번호를 반환하지 않았지만 Prince의 말에 따르면 카드의 마지막 4 자리수, 만료일 및 소유자 이름이 반환되었습니다. 또 다른 방법은 고객의 이름, 주소, 국가, 전자 메일 및 기타 세부 정보를 반환했습니다.

개발자는 Moonpig에게 2013 년 8 월에 보안 문제를 알렸지 만 회사가 그 발걸음을 옮겼다 고 주장합니다. 그 결과, 그는이 문제를 해결할 충분한 시간을 가지고 있다고 말하면서 세부 사항을 공개하기로 결정했다.

"Moonpig은 고객 프라이버시가 우선 순위가 아니라고 본다"

회사는 현재이 문제를 조사하고 예방책으로 앱을 종료했습니다.

Moonpig은 회사 웹 사이트에서 "우리는 오늘 아침 앱에서 고객 데이터의 보안에 관한 주장을 알고 있습니다. . "우리는 고객에게 모든 암호 및 지불 정보가 항상 안전하다는 것을 확신 할 수 있습니다. Moonpig에서의 쇼핑 경험의 보안은 우리에게 매우 중요하며, 오늘 보고서의 세부 사항을 우선 순위로 조사하고 있습니다. "