Moonpig – это известная компания поздравительной открытки в Великобритании. Вы можете использовать свои услуги для отправки персонализированных открыток своим друзьям и семье. [Павел] решил сделать некоторые копать и обнаружил несколько уязвимостей безопасности между приложением Moonpig Android и их API.
Прежде всего, [Павел] заметил, что система использовала базовую аутентификацию. Это не идеально, но компания по крайней мере использовала шифрование SSL для защиты учетных данных клиентов. После декодирования заголовка аутентификации [Paul] заметил что-то странное. Имя пользователя и пароль, отправляемые с каждым запросом, не были его собственными учетными данными. Его идентификатор клиента был там, но фактические полномочия были неправы.
[Paul] создал новую учетную запись и обнаружил, что учетные данные были одинаковыми. Изменяя идентификатор клиента в HTTP-запросе своего второго аккаунта, он смог обмануть веб-сайт, чтобы выпивать всю сохраненную информацию о своей первой учетной записи. Это означало, что вообще не было никакой аутентификации. Любой пользователь мог бы вытенить другого пользователя. Потягивая информация о адресе может не звучать как большую сделку, но [Paul] утверждает, что каждый запрос API был таким. Это означало, что вы можете пойти настолько размещать заказы под другие учетные записи клиентов без их согласия.
[PAUL] Использовал файлы API Moonpig, чтобы найти более интересные методы. Тот, который выделялся ему, был метод GetCreditCardDetails. [Павел] дал ему выстрел, и, конечно, достаточно, система выбросила данные кредитных карт, включая последние четыре цифры карты, срок годности и имя, связанное с картой. Это может быть не полные номера карточек, но это все еще, очевидно, довольно большая проблема, которая будет исправлена немедленно … верно?
[Павел] раскрыл уязвимость ответственно в Moonpig в августе 2013 года. Moonpig ответил, сказав, что проблема была связана с наследием, и оно будет зафиксировано. Год спустя [Павел] следил с Moonpig. Ему было сказано, что это должно быть решено до Рождества. 5 января 2015 года уязвимость все еще не решена. [Павел] решил, что достаточно было достаточно, и он может также просто публиковать свои выводы в Интернете, чтобы помочь нажать проблему. Кажется, это работало. Moonpig с тех пор отключил свой API и выпустил заявление через Twitter, утверждая, что «все пароль и информация об оплате и всегда были в безопасности». Это здорово и все, но это будет означать немного больше, если на самом деле имели значение пароли.