Moonpig adalah perusahaan kartu ucapan terkenal di Inggris. Anda dapat menggunakan layanan mereka untuk mengirim kartu ucapan yang dipersonalisasi kepada teman dan keluarga Anda. [Paul] memutuskan untuk melakukan beberapa penggalian dan menemukan beberapa kerentanan keamanan antara aplikasi Android Moonpig dan API mereka.
Pertama-tama, [Paul] memperhatikan bahwa sistem itu menggunakan otentikasi dasar. Ini tidak ideal, tetapi perusahaan setidaknya menggunakan enkripsi SSL untuk melindungi kredensial pelanggan. Setelah mendekodekan header otentikasi, [Paul] memperhatikan sesuatu yang aneh. Nama pengguna dan kata sandi yang dikirim dengan setiap permintaan bukan kredensialnya sendiri. ID pelanggannya ada di sana, tetapi kredensial yang sebenarnya salah.
[Paul] menciptakan akun baru dan menemukan bahwa kredensial itu sama. Dengan memodifikasi ID pelanggan dalam permintaan HTTP dari akun mereka yang kedua, ia dapat menipu situs web untuk memuntahkan semua informasi alamat yang disimpan dari akun pertamanya. Ini berarti bahwa pada dasarnya tidak ada otentikasi sama sekali. Setiap pengguna dapat menyamar sebagai pengguna lain. Menarik informasi alamat mungkin tidak terdengar seperti masalah besar, tetapi [Paul] mengklaim bahwa setiap permintaan API seperti ini. Ini berarti bahwa Anda bisa pergi sejauh menempatkan pesanan di bawah akun pelanggan lain tanpa persetujuan mereka.
[Paul] menggunakan API Moonpig membantu file untuk menemukan metode yang lebih menarik. Satu yang menonjol kepadanya adalah metode GetCreditCardDetails. [Paul] mencetaknya, dan tentu saja sistem membuang detail kartu kredit termasuk empat digit terakhir kartu, tanggal kedaluwarsa, dan nama yang terkait dengan kartu. Ini mungkin bukan nomor kartu penuh tetapi ini masih jelas masalah yang cukup besar yang akan segera diperbaiki … kan?
[Paul] mengungkapkan kerentanan yang secara bertanggung jawab terhadap Moonpig pada Agustus 2013. Moonpig merespons dengan mengatakan masalahnya adalah karena kode legacy dan akan segera diperbaiki. Setahun kemudian, [Paul] menindaklanjuti dengan Moonpig. Dia diberitahu itu harus diselesaikan sebelum Natal. Pada tanggal 5 Januari 2015, kerentanan masih belum terselesaikan. [Paul] memutuskan bahwa cukup, dan dia mungkin juga menerbitkan temuannya secara online untuk membantu menekan masalah. Ini terlihat telah berfungsi. Moonpig sejak itu menonaktifkan API-nya dan merilis pernyataan melalui twitter mengklaim bahwa, “semua informasi kata sandi dan pembayaran adalah dan selalu aman”. Itu bagus dan semua, tetapi itu akan berarti sedikit lebih jika kata sandi sebenarnya penting.