个性化贺卡和礼品的大型在线销售商Moonpig周二关闭了其移动应用程序,因为安全弱点可能使黑客获得客户信息。
名为Paul Price的开发人员发现,Moonpig的API(应用程序编程接口),该公司的移动应用程序用于与其网站进行交互的在线服务缺乏基本的安全功能。
价格发现,Moonpig的Android应用程序对API的请求使用了一组静态的凭据,无论客户帐户。唯一区分来自不同用户的请求是包含在请求URL中的客户ID。
[更多阅读:如何从Windows PC删除恶意软件]由于客户ID是连续的,API没有使用身份验证 - 至少不是以有意义的方式 - 攻击者可以通过迭代不同的客户ID来代表所有客户发送请求,Price说。“据称,拥有Moonpig的英国PhotoBox集团已经完成了服务在英国,澳大利亚和美国有360万活跃用户
“攻击者可以轻松地在其他客户的账户上下订单,添加/检索卡信息,查看保存的地址,查看订单等等,”Prince在博客中说道根据王子的说法,一种名为GetCreditCardDetails的API方法没有返回客户的完整信用卡号码,但是返回了该卡的最后四位数字,过期日期和所有者的名字。另一种方法是返回客户的姓名,地址,国家,电子邮件和其他详细信息。
开发人员声称他在2013年8月以前通知了Moonpig安全问题,但该公司拖了下来。因此,他决定周一公布详细信息,称该公司已经有足够的时间来解决问题。“
p”顾客隐私似乎不是Moonpig的优先事项,“他说。
该公司目前正在研究该问题,并已关闭其应用程序作为预防措施。
“Moonpig在其公司网站上称:”我们知道今天上午关于我们的应用程序中客户数据安全性的声明。 。 “我们可以向客户保证,所有的密码和支付信息一直都是安全的。您在Moonpig的购物体验的安全性对我们非常重要,我们正在调查今天报告背后的细节。“
