Sorumlu açıklama yeterli değil
Moonpig, İngiltere’de tanınmış bir tebrik kartı şirketidir. Hizmetlerini arkadaşlarınıza ve ailenize kişiselleştirilmiş tebrik kartları göndermek için kullanabilirsiniz. [Paul] Bazı kazma yapmaya karar verdi ve Moonpig Android uygulaması ile API’su arasında birkaç güvenlik açığı keşfetti.
Her şeyden önce, [Paul] sistemin temel kimlik doğrulaması kullandığını fark etti. Bu ideal değil, ancak şirket en azından müşteri kimlik bilgilerini korumak için SSL şifrelemesi kullanıyordu. Kimlik doğrulama başlığının kodunu çözdükten sonra, [Paul] garip bir şey fark etti. Her isteği ile gönderilen kullanıcı adı ve şifre kendi kimlik bilgileri değildi. Müşteri kimliği oradaydı, ancak gerçek kimlik bilgileri yanlıştı.
[Paul] yeni bir hesap oluşturdu ve kimlik bilgilerinin aynı olduğunu buldu. Müşteri kimliğini ikinci hesabının HTTP talebinde değiştirerek, web sitesini, ilk hesabının kaydedilmiş adres bilgilerini tüketerek kandırmayı başardı. Bu, esasen hiç kimlik doğrulaması olmadığı anlamına geliyordu. Herhangi bir kullanıcı başka bir kullanıcıyı taklit edebilir. Adres bilgileri çekmek büyük bir anlaşma gibi gelebilir, ancak [Paul] her API isteğinin böyle olduğunu iddia ediyor. Bu, rızası olmadan diğer müşteri hesaplarında sipariş vermek kadar ileri gidebileceğiniz anlamına geliyordu.
[Paul] Moonpig’in API yardım dosyalarını daha ilginç yöntemler bulmak için kullandı. Ona göze çarpan biri GetCredItCardDetails yöntemi idi. [Paul] bir atış yaptı ve sistemin kartın son dört hanesi, son kullanma tarihi ve kartla ilişkilendirilen adı dahil olmak üzere sistemin kredi kartı ayrıntılarını çıkardığını kesin. Tam kart numarası olmayabilir, ancak bu hala belli ki hemen düzeltilecek oldukça büyük bir sorun … değil mi?
[Paul] Ağustos 2013’te MoonPig’e karşı sorumlu bir şekilde savunmasızlığını açıkladı. Moonpig, sorunun eski kodundan kaynaklandığını ve derhal düzeltileceğini söyleyerek yanıt verdi. Bir yıl sonra, [Paul] Moonpig ile takip edildi. Noel’den önce çözülmesi gerektiği söylendi. 5 Ocak 2015 tarihinde, kırılganlık hala çözülmedi. [Paul] Yeterince yeterince yeterince karar verdi ve bu da soruna basmasına yardımcı olmak için bulgularını çevrimiçi olarak yayınlayabilir. İşe yaradı gibi görünüyor. Moonpig, API’sini devre dışı bıraktı ve “Tüm şifre ve ödeme bilgilerinin her zaman güvenli olmadığını” iddia ettiğini iddia eden Twitter üzerinden bir açıklama yayınladı. Bu harika ve hepsi, ancak eğer şifreler önemli ise biraz daha fazla anlamına gelir.