Moonpig er et kjent gratulasjonskort selskap i Storbritannia. Du kan bruke sine tjenester til å sende personlige gratulasjonskort til dine venner og familie. [Paul] bestemte seg for å gjøre noen graving rundt og oppdaget noen sikkerhetsproblemer mellom Moonpig Android-appen og deres API.
Først av alt, merket [Paul] at systemet brukte grunnleggende autentisering. Dette er ikke ideelt, men selskapet var i det minste ved hjelp av SSL-kryptering for å beskytte kundens legitimasjon. Etter dekoding av autentiseringshodet, la [Paul] la merke til noe rart. Brukernavnet og passordet som sendes med hver forespørsel, var ikke hans egne legitimasjonsbeskrivelser. Hans kunde-ID var der, men den faktiske legitimasjonene var feil.
[Paul] opprettet en ny konto og fant at legitimasjonene var de samme. Ved å endre kundens ID i HTTP-forespørselen fra sin andre konto, kunne han lure nettstedet til å spytte ut all den lagrede adresseinformasjonen til sin første konto. Dette betydde at det i hovedsak ikke var noe autentisering i det hele tatt. Enhver bruker kan utnytte en annen bruker. Å trekke adresseinformasjon kan ikke høres ut som en stor avtale, men [Paul] hevder at hver API-forespørsel var slik. Dette betydde at du kunne gå så langt som å bestille ordre under andre kundekontoer uten deres samtykke.
[Paul] brukte Moonpigs API-hjelpefiler for å finne mer interessante metoder. En som stod ut til ham, var GetCreditCarddetails-metoden. [Paul] ga det et skudd, og sikkert nok systemet dumpet ut kredittkortdetaljer, inkludert de siste fire sifrene i kortet, utløpsdatoen, og navnet som er knyttet til kortet. Det kan ikke være full kortnumre, men dette er fortsatt åpenbart et ganske stort problem som ville bli løst umiddelbart … ikke sant?
[Paulus] avslørte sårbarheten ansvarlig for Moonpig i august 2013. Moonpig reagerte ved å si at problemet var på grunn av eldre kode, og det ville bli løst raskt. Et år senere fulgte [Paulus] med Moonpig. Han ble fortalt at den skulle løses før jul. Den 5. januar 2015 ble sårbarheten fortsatt ikke løst. [Paul] bestemte seg for at nok var nok, og han kan like godt publisere hans funn på nettet for å hjelpe presset på problemet. Det ser ut til å ha jobbet. Moonpig har siden deaktivert sin API og utgitt en uttalelse via Twitter som hevder at “alt passord og betalingsinformasjon er og har alltid vært trygg”. Det er flott og alt, men det ville bety litt mer hvis passordene faktisk har betydning.