Moonpig là một công ty thiệp chúc mừng nổi tiếng ở Anh. Bạn có thể sử dụng dịch vụ của họ để gửi thiệp chúc mừng cá nhân cho bạn bè và gia đình của bạn. [Paul] đã quyết định thực hiện một số đào xung quanh và phát hiện ra một vài lỗ hổng bảo mật giữa ứng dụng Android Moonpig và API của họ.
Trước hết, [Paul] nhận thấy hệ thống này đã sử dụng xác thực cơ bản. Điều này không lý tưởng, nhưng công ty ít nhất là sử dụng mã hóa SSL để bảo vệ thông tin đăng nhập của khách hàng. Sau khi giải mã tiêu đề xác thực, [Paul] nhận thấy một cái gì đó lạ. Tên người dùng và mật khẩu được gửi cùng với mỗi yêu cầu không phải là thông tin đăng nhập của riêng mình. ID khách hàng của anh ấy đã ở đó, nhưng thông tin thực tế đã sai.
[Paul] đã tạo một tài khoản mới và thấy rằng thông tin đăng nhập giống nhau. Bằng cách sửa đổi ID khách hàng trong yêu cầu HTTP của tài khoản thứ hai của mình, anh ấy đã có thể lừa trang web để loại bỏ tất cả thông tin địa chỉ đã lưu của tài khoản đầu tiên của mình. Điều này có nghĩa là về cơ bản không có xác thực nào cả. Bất kỳ người dùng nào có thể mạo danh người dùng khác. Kéo thông tin địa chỉ có thể không giống như một vấn đề lớn, nhưng [Paul] tuyên bố rằng mọi yêu cầu API đều như thế này. Điều này có nghĩa là bạn có thể đi xa như đặt các đơn đặt hàng dưới các tài khoản khách hàng khác mà không có sự đồng ý của họ.
[Paul] đã sử dụng API của Moonpig giúp các tệp để xác định các phương pháp thú vị hơn. Một người nổi bật với anh ta là phương pháp GetCredItCardDetails. [Paul] đã cho nó một phát bắn, và chắc chắn rằng hệ thống đã đổ ra các chi tiết thẻ tín dụng bao gồm bốn chữ số cuối của thẻ, ngày hết hạn và tên được liên kết với thẻ. Nó có thể không phải là số thẻ đầy đủ nhưng đây vẫn là một vấn đề khá lớn sẽ được khắc phục ngay lập tức … phải không?
[Paul] đã tiết lộ lỗ hổng có trách nhiệm với Moonpig vào tháng 8 năm 2013. Moonpig đã trả lời bằng cách nói rằng vấn đề là do mã kế thừa và nó sẽ được sửa chữa kịp thời. Một năm sau, [Paul] theo dõi với Moonpig. Ông được cho biết nó nên được giải quyết trước Giáng sinh. Vào ngày 5 tháng 1 năm 2015, lỗ hổng vẫn chưa được giải quyết. [Paul] quyết định rằng đủ đủ là đủ, và anh ta cũng có thể công bố phát hiện trực tuyến của mình để giúp nhấn vấn đề. Nó dường như đã từng làm việc. Moonpig đã vô hiệu hóa API của nó và phát hành một tuyên bố thông qua Twitter tuyên bố rằng, “tất cả thông tin mật khẩu và thanh toán là an toàn”. Điều đó thật tuyệt và tất cả, nhưng nó có nghĩa là nhiều hơn một chút nếu mật khẩu thực sự quan trọng.