Специализированный продавец поздравительной открытки временно отстраняет услуги после того, как разработчик утверждает, что его мобильные API позволяют любому запрашивать потребительские подробные данные.Специализированный производитель поздравительной открытки Мунпиг приостановил ее услуги мобильной связи 6 января, после того, как разработчик утверждал, что плохая кодовая безопасность компании могла позволить атакующим собирать подробные данные о миллионах пользователей.Проблема безопасности очевидно происходит в прикладном программном интерфейсе компании, который это используется для передачи между онлайн-сервисами Мунпига и его мобильными приложениями.
Поскольку компания не соответственно аутентифицирует запросы на информацию о клиентах, атакующий мог просто изменить идентификатор клиента в любом запросе и возвратить профиль другого клиента, включая имя, адрес и дату рождения, по словам Пола Прайса, разработчика, который нашел проблему.«Каждый запрос API походит на это, нет никакой аутентификации вообще, и Вы можете передать в любом идентификаторе клиента для исполнения роли их», заявил Прайс в сообщении в блоге, описывающем слабость безопасности. «Атакующий мог легко разместить заказы на других потребительских учетных записях, добавить [или] получить информацию о карте, просмотреть сохраненные адреса, просмотреть заказы и намного больше».Компания проигнорировала проблему в течение 17 месяцев, по словам Прайса, который утверждает, что первоначально уведомил компанию в 2013. Все же, в течение часов после общедоступного раскрытия кодовой слабости, Moonpig приостановил свои услуги мобильной связи.
Компания исследует проблемы, согласно отчетам, отправленным на ее веб-сайте и канале Твиттера.«Мы можем уверить наших клиентов, что вся информация о пароле и платеже и всегда была безопасна», компания заявила. «Предусмотрительно, наши Приложения будут недоступны какое-то время, пока мы проводим эти расследования, и мы будем работать для возобновления нормального обслуживания как можно скорее.
Настольные и мобильные веб-сайты незатронуты».Неясно, на сколько клиентов влияет дефект API. Больше чем 1,5 миллиона человек используют Android и приложения для iPhone компании, согласно сообщениям в печати. Однако компания имела больше чем 10 миллионов пользователей по состоянию на февраль 2014.
Ни компания, ни разработчик Прайс сразу не реагировали на запросы на комментарии.В основе проблемы основанные на HTTP запросы, которые передают данные между облачными сервисами, веб-сайтами и мобильными устройствами. Известный как веб-API, протоколы связи позволили данным перемещаться свободно между услугами, но они часто не хорошо защищались. Много компаний создают свои собственные API и свое отсутствие знания безопасности или результатов фокуса в ошибках.
Основная проблема для API Moonpig состоит в том, что компания разработала его для доверия данным из приложения, не полагая, что злонамеренный атакующий, возможно, изменил данные, сказал Пол Маттон, исследователь в области безопасности с интернет-фирмой по контролю Netcraft.«В отличие от этого, с традиционными веб-приложениями, большая часть того, что продолжается ниже глянцевого фасада приложения, скрыта от пользователя – но с правильными инструментами и правильным знанием, это может быть тривиально, чтобы идентифицировать и использовать любые уязвимости, которые могли бы влиять на него», сказал он в сообщении в блоге относительно проблемы.«Уязвимость Moonpig иллюстрирует это, поскольку проблему не было только просто определить, но и могла быть использована просто, вставив измененный URL в стандартный веб-браузер».
Баранина записала.