贺卡网站Moonpig的300万名用户的数据遭到泄露,随后该网站关闭了移动app。据悉,攻击者可访问网站任何一名用户的详细资料、查看之前的订单并对任何用户下订单。
该漏洞是由Price发现的,他指出漏洞出现在MoonPig移动app可与其服务器通讯的部分,即API。API发送的信息并不是受单个用户名及密码保护的信息,而是受到同一凭证保护的信息,不管登录的用户是谁。
这款app识别不同用户账户的唯一方式是一个9位数字,且传输并未加密。对于Price来说,访问另一个用户的账户易如反掌,他只要修改那个9位数、重新发送请求,便可获得用户信息包括邮寄地址、生日、电子邮件、电话号码、以及一部分信用卡数据包括最后四位数及到期日。信用卡密码并未遭到泄露,并且已知信用卡数据并不能完成购买。Price指出,多数公司通过用户地址、出生日期及银行卡最后四位数的组合来识别不同用户,所以说这次泄露挖掘的更深,它可以攻陷用户的其他第三方账户。此外,如果用户的ID是连续的,那么攻击者可以很容易地利用他们的地址以及银行卡详细信息在几个小时之内构建出Moonpig所有用户的数据库。这种可能性非常令人担忧。
Moonpig由在线照片打印公司PhotoBox所有。PhotoBox在一份声明中表示已经意识到这个安全问题,并且表示用户所有的密码及支付信息是安全的,并宣布将关闭app修复这一问题。
Price表示,他早在2013年8月18日便已向公司报告了这个漏洞,但时隔13个月之后,公司仍未修复。而这个时间段早已超过业内公认的90天时间。因此他决定将漏洞公之于众,以督促公司尽快予以修复。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。