详细内容或原文请订阅后点击阅览
霍比特人风格的剑可以帮助您找到无抵押的WiFi热点
Moonpig是一家在线个性化的卡公司,在其安全性未拨动的严重漏洞之后,被指控对安全性持震惊的草率态度。
来源:WeLiveSecurity _恶意软件未解决的安全漏洞使数百万的月球匹配客户处于17个月的危险中
Moonpig是一家在线个性化的卡公司,在其安全性未拨动的严重漏洞之后,被指控对安全性持震惊的草率态度。
2015年1月6日•,2分钟。阅读
2015年1月6日 • , 2分钟。阅读该漏洞据说是在2013年8月首次向Moonpig报告的漏洞(是,2013年),允许任何有少量编程知识的人访问该公司360万客户的姓名,出生日期,电子邮件和家庭地址。
所需的只是更改API请求中发送的客户ID号。 无需认证。
开发商保罗·普莱斯(Paul Price)在2013年8月(2013年)发现了严重的安全漏洞,并告诉Moonpig这个问题。 在大约17个月后,公司缺乏反应,普莱斯现在已经公开了。
去了公共在Price的测试中,他发现API调用不是限制的,这意味着从理论上讲,似乎可以通过客户ID的每一个变化来努力,并最终访问MoonPig所有用户的个人详细信息。
昨晚,该缺陷的消息很快在Twitter上传播,以至于“ Moonpig”在伦敦趋势。
可悲的是,Moonpig的英国分支机构似乎遗忘了Furore,告诉追随者,它已经用一杯好茶来观看最新的David Tennant侦探戏剧“ Broadchurch”:
普莱斯说,他在2013年8月18日对Moonpig的脆弱性负责任地披露,一年后的2014年9月26日再次感到印象:
“我的时代我已经看到了一些半动的安全性,但这只是饼干。无论谁构建了该系统的人,都需要被击落水板。”
显然,Moonpig的系统并未考虑到安全性。 这很糟糕,因为它的数据库包含敏感信息,并且显然很容易被在线罪犯和欺诈者滥用。