Moonpig הוא חברה ידועה כרטיס ברכה בבריטניה. אתה יכול להשתמש בשירותים שלהם כדי לשלוח כרטיסי ברכה מותאמים אישית לחברים ולמשפחה שלך. [פול] החליט לעשות קצת חפירה מסביב וגילה כמה פגיעויות אבטחה בין יישום Android Moonpig לבין API שלהם.
קודם כל, [פול] הבחין כי המערכת משתמשת באימות בסיסי. זה לא אידיאלי, אבל החברה היתה לפחות שימוש בהצפנת SSL כדי להגן על אישורי הלקוחות. לאחר פענוח כותרת האימות, [פול] הבחין במשהו מוזר. שם המשתמש והסיסמה שנשלחו בכל בקשה לא היו אישורים משלו. תעודת הזהות שלו היתה שם, אבל האישורים בפועל טעו.
[PAUL] יצר חשבון חדש ומצא כי האישורים היו זהים. על ידי שינוי מזהה הלקוח בבקשת HTTP של החשבון השני שלו, הוא היה מסוגל להערים על האתר לירוק את כל פרטי הכתובת השמורה של החשבון הראשון שלו. זה אומר כי לא היה שום אימות בכלל. כל משתמש יכול להתחזות למשתמש אחר. משיכת מידע על כתובת לא נשמע כמו עניין גדול, אבל [פול] טוען שכל בקשת ממשק API היתה כזאת. זה אומר שאתה יכול ללכת רחוק ככל הצבת פקודות תחת חשבונות לקוחות אחרים ללא הסכמתם.
[PAUL] השתמשו ב- Moonpig של API עזרה קבצים כדי לאתר שיטות מעניינות יותר. אחד כי בלט לו היה שיטת getcreditcarddails. [פול] נתן לו זריקה, ובטוח כי המערכת זרקה את פרטי כרטיס האשראי כולל ארבע הספרות האחרונות של הכרטיס, תאריך התפוגה, ואת השם המשויך לכרטיס. זה לא יכול להיות מספרי כרטיס מלא אבל זה עדיין ברור בעיה גדולה למדי כי יהיה קבוע מיד … נכון?
[פול] גילתה את הפגיעות באחריות ל- Moonpig באוגוסט 2013. Moonpig הגיב באומרו כי הבעיה היתה בשל קוד מדור קודם וזה יהיה קבוע מיד. שנה לאחר מכן, [פול] בעקבות ירח. נאמר לו שזה צריך להיפתר לפני חג המולד. ביום 5 בינואר 2015 עדיין לא נפתרה הפגיעות. [פול] החליט כי מספיק היה מספיק, והוא יכול גם רק לפרסם את הממצאים שלו באינטרנט כדי לעזור ללחוץ על הבעיה. נראה שיש עבד. Moonpig מאז הנכה API שלה ופרסמה הצהרה באמצעות טוויטר בטענה כי “כל הסיסמה ואת פרטי התשלום הוא תמיד היה בטוח”. זה נהדר וכל, אבל זה אומר קצת יותר אם הסיסמאות למעשה לא משנה.