Moonpig je známý blahopřání společnosti ve Velké Británii. Své služby můžete použít k odeslání personalizovaných pohlednic pro své přátele a rodinu. [Paul] se rozhodl udělat nějaké kopání kolem a objevil několik zranitelností zabezpečení mezi aplikací Moonpig Android a jejich API.
Za prvé, [Paul] si všiml, že systém používal základní ověřování. To není ideální, ale společnost byla přinejmenším používána šifrování SSL pro ochranu zákaznických pověření. Po dekódování záhlaví autentizace, [Paul] si všiml něčeho zvláštního. Uživatelské jméno a heslo odeslané s každým požadavkem nebyly jeho vlastními pověřeními. Jeho ID zákazníka tam bylo, ale skutečná pověření byla špatná.
[Paul] vytvořil nový účet a zjistil, že pověření byla stejná. Změněním ID zákazníka v požadavku HTTP svého druhého účtu byl schopen trikovat webové stránky do plivání všech uložených informací o svém prvním účtu. To znamenalo, že vůbec neexistuje v podstatě žádná autentizace. Každý uživatel by se mohl vydávat za jiného uživatele. Tahání adresy nemusí znít jako velký problém, ale [Paul] tvrdí, že každý požadavek API je takto. To znamenalo, že byste mohli jít až na umístění objednávek pod jinými zákaznickými účty bez jejich souhlasu.
[Paul] Použité Moonpigovy rozhraní API nápovědy pomáhají lokalizovat zajímavější metody. Jeden, který k němu postavil, bylo metoda GetCreditCardDetails. [Paul] mu dal výstřel a dostatečně jistý systém vyložil podrobnosti o kreditní kartě včetně posledních čtyř číslic karty, datum expirace a název spojené s kartou. To nemusí být celá čísla karet, ale to je stále naprosto velký problém, který by byl okamžitě opraven … vpravo?
[Paul] zveřejněna zranitelnost zodpovědně na moonpig v srpnu 2013. Moonpig odpověděl tím, že říká, že problém byl způsoben starým kódem a bude opraveno okamžitě. O rok později se [Paul] následoval s moonpigem. Bylo mu řečeno, že by mělo být vyřešeno před Vánocemi. 5. ledna 2015 byla chyba zabezpečení ještě nevyřešena. [Paul] se rozhodl, že dost stačí, a on by mohl také zveřejnit jeho nálezy online, aby pomohl stisknout problém. Zdá se, že to fungovalo. Moonpig má odbarvování jeho API a vydal prohlášení přes Twitter tvrdí, že “všechny heslo pro heslo a platby jsou vždy bezpečné”. To je skvělé a všechny, ale to by znamenalo o něco více, pokud hesla skutečně záleželo.