ムーンピッグは英国の有名なグリーティングカード会社です。あなたは彼らのサービスを使ってあなたの友人や家族にパーソナライズされたグリーティングカードを送ることができます。 [Paul]は、ムーンピッグAndroidアプリとそのAPIの間にいくつかのセキュリティの脆弱性を発見することを決定しました。
まず第一に、[Paul]システムは基本認証を使用していたことに気づきました。これは理想的ではありませんが、会社は少なくともCustomerの資格情報を保護するためにSSL暗号化を使用していました。認証ヘッダーを復号した後、[Paul]は何か不思議に気づいた。各リクエストで送信されているユーザー名とパスワードは自分の資格情報ではありませんでした。彼の顧客IDはそこにありましたが、実際の資格情報は間違っていました。
[Paul]新しいアカウントを作成し、資格情報が同じであることがわかりました。彼の2番目のアカウントのHTTPリクエストで顧客IDを変更することで、彼は自分の最初のアカウントのすべての保存されているアドレス情報のすべてをスピッティングするためにWebサイトをトリックすることができました。これは、本質的に認証がまったく認証されていないことを意味しました。ユーザーは別のユーザーを偽装することができます。アドレス情報を引っ張ることは大したことが好きではないかもしれませんが、[Paul]はすべてのAPI要求がこのようなものだったと主張しています。これは、他の顧客アカウントの下に同意なしに注文を配置するまでに行くことができることを意味しました。
[Paul] MoonpigのAPIヘルプファイルを使用して、より興味深い方法を見つけます。彼に立っていたものはGetCreditCardDetailsメソッドでした。 [Paul]はそれをショットを与え、そして確かにシステムがカードの最後の4桁、そしてカードに関連付けられた名前を含むクレジットカードの詳細を捨てた。それは完全なカード番号ではないかもしれませんが、これはまだすぐに修正されるかなり大きな問題です…正しい?
[Paul] 2013年8月にムーンピッグに責任がある脆弱性を明らかにしました。ムーンピッグは問題が従来のコードによるものであり、それは速やかに修正されることによって回答しました。 1年後、[Paul]ムーンピッグでフォローアップしました。彼はそれがクリスマスの前に解決されるべきだと言われました。 2015年1月5日、この脆弱性はまだ解決されていませんでした。 [Paul]は十分で十分だと決心しました、そして彼は問題を報告するのを助けるためにオンラインであると彼の調査結果を公開するかもしれません。働いていたようです。 Moonpigは以来、そのAPIを無効にして、「すべてのパスワードと支払い情報は常に安全である」と主張しているTwitterを介して声明を発表しました。それは素晴らしいです、そして、パスワードが実際に重要な場合はもう少し意味があります。