Moonpig เป็น บริษัท บัตรอวยพรที่รู้จักกันดีในสหราชอาณาจักร คุณสามารถใช้บริการของพวกเขาเพื่อส่งการ์ดอวยพรส่วนบุคคลให้เพื่อนและครอบครัวของคุณ [Paul] ตัดสินใจที่จะขุดบางอย่างและค้นพบช่องโหว่ความปลอดภัยบางอย่างระหว่างแอป Moonpig Android และ API ของพวกเขา
ก่อนอื่น [Paul] สังเกตเห็นว่าระบบกำลังใช้การรับรองความถูกต้องพื้นฐาน สิ่งนี้ไม่เหมาะ แต่ บริษัท อย่างน้อยก็ใช้การเข้ารหัส SSL เพื่อปกป้องข้อมูลรับรองของลูกค้า หลังจากถอดรหัสส่วนหัวการรับรองความถูกต้อง [Paul] สังเกตเห็นสิ่งที่แปลก ชื่อผู้ใช้และรหัสผ่านที่ถูกส่งโดยแต่ละคำขอไม่ใช่ข้อมูลประจำตัวของเขาเอง รหัสลูกค้าของเขาอยู่ที่นั่น แต่ข้อมูลประจำตัวที่เกิดขึ้นจริงผิด
[Paul] สร้างบัญชีใหม่และพบว่าข้อมูลประจำตัวนั้นเหมือนกัน โดยการปรับเปลี่ยนรหัสลูกค้าในการร้องขอ HTTP ของบัญชีที่สองของเขาเขาสามารถหลอกเว็บไซต์เพื่อสลายข้อมูลที่อยู่ที่บันทึกไว้ทั้งหมดของบัญชีแรกของเขา นี่หมายความว่าไม่มีการรับรองความถูกต้องเลย ผู้ใช้ใด ๆ สามารถแอบอ้างเป็นผู้ใช้รายอื่น การดึงข้อมูลที่อยู่อาจไม่ฟังดูเหมือนเป็นเรื่องใหญ่ แต่ [Paul] อ้างว่าการร้องขอ API ทุกครั้งเป็นเช่นนี้ นี่หมายความว่าคุณสามารถไปได้ไกลถึงการสั่งซื้อภายใต้บัญชีลูกค้าอื่น ๆ โดยไม่ได้รับความยินยอม
[Paul] ใช้ไฟล์ช่วยเหลือ API ของ Moonpig เพื่อค้นหาวิธีการที่น่าสนใจมากขึ้น หนึ่งที่โดดเด่นให้เขาเป็นวิธี GetCreditCardDetails [Paul] ให้การยิงและแน่นอนว่าระบบจะทิ้งรายละเอียดบัตรเครดิตรวมถึงตัวเลขสี่หลักสุดท้ายของการ์ดวันหมดอายุและชื่อที่เกี่ยวข้องกับการ์ด อาจไม่ใช่หมายเลขบัตรแบบเต็ม แต่นี่เป็นปัญหาใหญ่ที่ค่อนข้างใหญ่ที่จะได้รับการแก้ไขในทันที … ใช่ไหม?
[Paul] เปิดเผยช่องโหว่อย่างรับผิดชอบต่อ Moonpig ในเดือนสิงหาคม 2013 Moonpig ตอบโต้ด้วยการบอกว่าปัญหาเกิดจากรหัสดั้งเดิมและจะได้รับการแก้ไขทันที หนึ่งปีต่อมา [Paul] ติดตามด้วย Moonpig เขาบอกว่าควรได้รับการแก้ไขก่อนวันคริสต์มาส ในวันที่ 5 มกราคม 2558 ช่องโหว่ยังไม่ได้รับการแก้ไข [พอล] ตัดสินใจว่าเพียงพอพอแล้วและเขาอาจจะเผยแพร่การค้นพบของเขาทางออนไลน์เพื่อช่วยกดปัญหา ดูเหมือนว่าจะได้ผล Moonpig ได้ปิดการใช้งาน API และเปิดตัวแถลงการณ์ผ่าน Twitter โดยอ้างว่า “ข้อมูลรหัสผ่านและการชำระเงินทั้งหมดและปลอดภัยเสมอ” นั่นยอดเยี่ยมมากและทั้งหมด แต่มันจะมีความหมายอีกเล็กน้อยหากรหัสผ่านมีความสำคัญจริง ๆ