Moonpig to znana firma z pozdrowieniami w Wielkiej Brytanii. Możesz użyć swoich usług, aby wysłać spersonalizowane karty z pozdrowieniami do znajomych i rodziny. [Paul] postanowił zrobić trochę kopania i odkrył kilka luk w zabezpieczeniach między aplikacją Moonpig Android i ich API.
Przede wszystkim [Paul] zauważył, że system wykorzystał podstawowe uwierzytelnianie. Nie jest to idealne, ale firma była przynajmniej przynajmniej przynajmniej używa szyfrowania SSL, aby chronić poświadczenia klientów. Po dekodowaniu nagłówka uwierzytelniania [Paul] zauważył coś dziwnego. Nazwa użytkownika i hasło są wysyłane z każdym wnioskiem nie były jego własnymi poświadczeniami. Jego identyfikator klienta był tam, ale rzeczywiste poświadczenia były złe.
[Paul] stworzył nowe konto i stwierdził, że poświadczenia były takie same. Modyfikując identyfikator klienta na żądanie HTTP jego drugiego konta, udało mu się oszukać witrynę w wypludzeniu wszystkich zapisanych informacji o swoim pierwszym koncie. Oznaczało to, że w ogóle nie było żadne uwierzytelnianie. Każdy użytkownik może podszychać innego użytkownika. Ciągnięcie informacji o adresie może nie brzmi jak wielka sprawa, ale [Paul] twierdzi, że każda prośba API była taka. Oznaczało to, że można pójść w stosunku do składania zamówień na innych kontach klientów bez ich zgody.
[Paul] Używał plików pomocy API Moonpiga, aby zlokalizować bardziej interesujące metody. Wydano mu metodę GetCreditCardetails. [Paul] Dał mu strzał, a na pewno dość systemu wyrzucił dane karty kredytowej, w tym ostatnie cztery cyfry karty, data ważności i nazwa związana z kartą. To może nie być pełne numery kart, ale wciąż jest oczywiście dość dużym problemem, który zostałby ustalony natychmiast … racja?
[Paul] ujawnił podatność odpowiedzialność na Moonpig w sierpniu 2013 roku Rok później [Paul] śledził Moonpig. Powiedziano mu, że należy rozwiązać przed Bożym Narodzeniem. W dniu 5 stycznia 2015 r. Wrażliwość wciąż nie została rozwiązana. [Paul] zdecydował, że wystarczyło wystarczająco dużo, a on może tylko publikować swoje ustalenia online, aby pomóc wcisnąć problem. Wydaje się, że pracował. Moonpig od tego czasu wyłączył swój interfejs API i wydał oświadczenie za pośrednictwem Twittera twierdzącym, że “wszystkie informacje o hasła i płatności są zawsze były bezpieczne”. To świetnie i wszystko, ale oznaczałoby to trochę więcej, jeśli hasła rzeczywiście miały znaczenie.