Moonpig ist ein bekanntes Grußkartenunternehmen in Großbritannien. Sie können ihre Dienste verwenden, um personalisierte Grußkarten an Ihre Freunde und Familie zu senden. [Paul] beschloss, etwas zu graben und entdeckte ein paar Sicherheitslücken zwischen der Moonpig Android App und deren API.
Zunächst einmal hat [Paul] bemerkt, dass das System die grundlegende Authentifizierung verwendet hat. Dies ist nicht ideal, aber das Unternehmen hatte mindestens die SSL-Verschlüsselung zum Schutz der Kundenanmeldeinformationen. Nach der Dekodierung des Authentifizierungsheaders hat [Paul] etwas Seltsames bemerkt. Der Benutzername und das Passwort, die mit jeder Anfrage gesendet werden, waren nicht seine eigenen Anmeldeinformationen. Seine Kunden-ID war da, aber die eigentlichen Anmeldeinformationen waren falsch.
[Paul] erstellte ein neues Konto und stellte fest, dass die Anmeldeinformationen dasselbe waren. Durch Ändern der Kundennummer in der HTTP-Anforderung seines zweiten Accounts konnte er die Website trugen, um alle gespeicherten Adressinformationen seines ersten Kontos auszudrücken. Dies bedeutete, dass es überhaupt keine Authentifizierung gab. Jeder Benutzer könnte einen anderen Benutzer konternieren. Adressinformationen ziehen vielleicht nicht wie eine große Sache, sondern [Paul] behauptet, dass jede API-Anfrage so war. Dies bedeutete, dass Sie ohne ihre Zustimmung, soweit sie aufträgen, aufträgen.
[Paul] verwendete Moonpigs API-Hilfedateien, um interessantere Methoden zu lokalisieren. Eine, die an ihm heraus stand, war die GetcreditCardDetails-Methode. [Paul] gab es einen Schuss und sicher, dass das System die Kreditkartendaten auslöschte, einschließlich der letzten vier Ziffern der Karte, das Ablaufdatum und den mit der Karte verknüpften Namen. Es ist möglicherweise keine vollständigen Kartennummern, dies ist jedoch offensichtlich ein ziemlich großes Problem, das sofort behoben wird … Recht?
[Paul] offenbarte die Anfälligkeit verantwortungsbewusst an Moonpig im August 2013. Moonpig antwortete, indem er sagte, dass das Problem auf den Legacy-Code zurückzuführen war, und es würde sofort behoben werden. Ein Jahr später folgte [Paul] mit Moonpig. Er wurde gesagt, es sollte vor Weihnachten gelöst werden. Am 5. Januar 2015 wurde die Sicherheitsanfälligkeit immer noch nicht gelöst. [Paul] entschied, dass genug genug war, und er könnte genauso gut seine Ergebnisse online veröffentlichen, um das Problem zu drücken. Es scheint funktioniert zu haben. Moonpig ist seitdem seine API und veröffentlichte eine Erklärung über Twitter, die behaupten, dass “alle Passwort- und Zahlungsinformationen sind und sich immer sicher sind”. Das ist großartig und alles, aber es würde ein bisschen mehr bedeuten, wenn die Passwörter tatsächlich wichtig sind.