MoonPig je dobre známa priaznivá karta v Spojenom kráľovstve. Svoje služby môžete využiť na odosielanie personalizovaných pohľadníc pre svojich priateľov a rodine. [Paul] sa rozhodol urobiť nejaké kopírovanie a objavili niekoľko bezpečnostných zraniteľností medzi aplikáciou MoonPig Android a ich API.
Po prvé, [Paul] si všimol, že systém používal základnú autentifikáciu. To nie je ideálne, ale spoločnosť bola aspoň pomocou šifrovania SSL na ochranu poverení zákazníkov. Po dekódovaní záhlavia overovania, [Paul] si všimol niečo zvláštne. Užívateľské meno a heslo odosielané s každou požiadavkou neboli jeho vlastné poverenia. Jeho ID zákazníka tam bolo, ale skutočné poverenia boli nesprávne.
[Paul] vytvoril nový účet a zistil, že poverenia boli rovnaké. Zmätením ID zákazníka na požiadanie HTTP o jeho druhom účte, bol schopný oklamať webovú stránku na pľuvanie všetkých uložených informácií o svojom prvom účte. To znamenalo, že vôbec nebola v podstate žiadna autentifikácia. Každý používateľ by mohol zosobniť iného používateľa. Informácie o sťahovaní adries nemusia znieť ako veľký problém, ale [Paul] tvrdí, že každá požiadavka API bola taká. To znamenalo, že by ste mohli ísť až tak ďaleko, ako uviesť objednávky podľa iných účtovných účtov bez ich súhlasu.
[Paul] Použité MoonPig API API pomáhajú nájsť zaujímavejšie metódy. Jedna, ktorá mu stála, bola metóda GetCreditCardDetails. [Paul] dal ho záber, a určite systém vyhodil údaje o kreditnej karte vrátane posledných štyroch číslic karty, dátum expirácie a názov spojený s kartou. Nemusí to byť úplné čísla kariet, ale to je stále očividne veľký problém, ktorý by bol okamžite opravený … správne?
[Paul] zverejnil zraniteľnosť zodpovedne na MoonPig v auguste 2013. MoonPig odpovedal tým, že tento problém bol spôsobený starším kódom a bol by to okamžite opravený. O rok neskôr, [Paul] nasledoval s MoonPigom. Bolo povedané, že by sa malo vyriešiť pred Vianocami. Dňa 5. januára 2015 sa zraniteľnosť ešte neuskutočnila. [Paul] rozhodol, že dosť bolo dosť, a on by mohol tiež zverejniť svoje zistenia online, aby pomohli stlačiť problém. Zdá sa, že to fungovalo. MoonPig má od tej doby zakázané API a vydala vyhlásenie cez Twitter, ktorý tvrdil, že “všetky informácie o hesle a platby sú a vždy boli bezpečné”. To je skvelé a všetko, ale to by znamenalo trochu viac, ak heslá skutočne záleží.