A Moonpig egy jól ismert üdvözlőkártya-társaság az Egyesült Királyságban. Használhatja szolgáltatásaikat, hogy személyre szabott üdvözlőlapokat küldjenek barátainak és családjának. [Paul] decided to do some digging around and discovered a few security vulnerabilities between the Moonpig Android app and their API.
Először is, [Paul] észrevette, hogy a rendszer alapvető hitelesítést alkalmaz. Ez nem ideális, de a vállalat legalább SSL titkosítással volt az ügyfél hitelesítő adatainak védelme érdekében. A hitelesítési fejléc dekódolása után [Paul] valami furcsa volt. Az egyes kérelmekkel küldött felhasználónév és jelszó nem volt saját hitelesítő adatait. Ügyfél-azonosítója ott volt, de a tényleges hitelesítő adatok tévedtek.
[Paul] létrehozott egy új fiókot, és megállapította, hogy a hitelesítő adatok ugyanazok voltak. Az ügyfélazonosító módosításával a második fiók HTTP-kérésére, képes volt becsapni a honlapot az első fiók összes mentett címadatának kiállítására. Ez azt jelentette, hogy egyáltalán nem volt hitelesítés. Bármely felhasználó kiemelheti egy másik felhasználót. A címes adatinformáció nem hangzik, mint egy nagy ügy, de [Paul] azt állítja, hogy minden API kérés ilyen volt. Ez azt jelentette, hogy az egyéb ügyfélszámlák alá tartozó megrendelések elhelyezése a hozzájárulásuk nélkül.
[Paul] used Moonpig’s API help files to locate more interesting methods. Az egyik, aki kiállt neki, a GetCreditcardDetails módszer. [Paul] egy lövés, és biztos benne, hogy a rendszer dömpingelt a hitelkártya adatait, beleértve a kártya utolsó négy számjegyét, a lejárati dátumot és a kártyával kapcsolatos nevet. Lehet, hogy nem teljes kártyaszám, de ez még mindig nyilvánvalóan elég nagy probléma, amelyet azonnal rögzítenek …
[Paul] disclosed the vulnerability responsibly to Moonpig in August 2013. Moonpig responded by saying the problem was due to legacy code and it would be fixed promptly. Egy évvel később [Paul] követte a Moonpig-t. Azt mondták, hogy karácsony előtt kell megoldani. 2015. január 5-én a sebezhetőség még mindig nem oldódott meg. [Paul] decided that enough was enough, and he might as well just publish his findings online to help press the issue. Úgy tűnik, hogy dolgozott. Moonpig has since disabled its API and released a statement via Twitter claiming that, “all password and payment information is and has always been safe”. Ez nagyszerű és minden, de egy kicsit többet jelent, ha a jelszavak valóban számítanak.