នៅពេលដែលការបង្ហាញការទទួលខុសត្រូវមិនគ្រប់គ្រាន់
MoonPig គឺជាក្រុមហ៊ុនសួរសុខទុក្ខដ៏ល្បីមួយនៅចក្រភពអង់គ្លេស។ អ្នកអាចប្រើសេវាកម្មរបស់ពួកគេដើម្បីផ្ញើកាតស្វាគមន៍ផ្ទាល់ខ្លួនដល់មិត្តភក្តិនិងក្រុមគ្រួសាររបស់អ្នក។ [ប៉ូល] បានសំរេចចិត្តធ្វើការជីកខ្លះៗហើយបានរកឃើញភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពមួយចំនួនរវាងកម្មវិធី MoonPig Android និង API របស់ពួកគេ។
ដំបូងបង្អស់ [ប៉ូលបានកត់សម្គាល់ឃើញថាប្រព័ន្ធនេះកំពុងប្រើការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវមូលដ្ឋាន។ នេះមិនល្អទេប៉ុន្តែក្រុមហ៊ុនយ៉ាងហោចណាស់ប្រើការអ៊ិនគ្រីប SSL ដើម្បីការពារអត្តសញ្ញាណរបស់អតិថិជន។ បន្ទាប់ពីបានឌិកូដបឋមកថាផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនោះ [ប៉ូល] បានកត់សម្គាល់អ្វីដែលចម្លែក។ ឈ្មោះអ្នកប្រើនិងពាក្យសម្ងាត់ដែលត្រូវបានផ្ញើដោយសំណើនីមួយៗមិនមែនជាលិខិតសម្គាល់ផ្ទាល់ខ្លួនទេ។ លេខសម្គាល់អតិថិជនរបស់គាត់នៅទីនោះប៉ុន្តែលិខិតសម្គាល់ជាក់ស្តែងគឺខុស។
[ប៉ូល] បានបង្កើតគណនីថ្មីមួយហើយបានរកឃើញថាលិខិតសម្គាល់គឺដូចគ្នា។ តាមរយៈការកែប្រែលេខសម្គាល់អតិថិជនក្នុងការស្នើសុំរបស់ HTTP នៃគណនីទី 2 របស់គាត់គាត់អាចបញ្ឆោតគេហទំព័ររបស់គាត់ទៅក្នុងការស្តោះទឹកជ្រលក់ចេញពីព័ត៌មានអាសយដ្ឋានដែលបានរក្សាទុករបស់គណនីដំបូងរបស់គាត់។ នេះមានន័យថាវាចាំបាច់មិនមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវទាល់តែសោះ។ អ្នកប្រើណាម្នាក់អាចក្លែងបន្លំអ្នកប្រើម្នាក់ទៀត។ ការទាញព័ត៌មានអាស័យដ្ឋានប្រហែលជាមិនស្តាប់ទៅដូចជារឿងធំទេប៉ុន្តែ [ប៉ូល] អះអាងថារាល់សំណូមពររបស់ API ទាំងអស់គឺដូចនេះ។ នេះមានន័យថាអ្នកអាចទៅឆ្ងាយដូចជាការដាក់បញ្ជាក្រោមគណនីរបស់អតិថិជនផ្សេងទៀតដោយគ្មានការយល់ព្រមពីពួកគេ។
[ប៉ូល] បានប្រើឯកសារជំនួយ API របស់ MoonPig ដែលប្រើដើម្បីកំណត់ទីតាំងគួរឱ្យចាប់អារម្មណ៍បន្ថែមទៀត។ មួយដែលបានលេចធ្លោចំពោះគាត់គឺជាវិធីសាស្ត្រ GetCreditcarddetails ។ [ប៉ូល] បានផ្តល់ឱ្យវានូវការបាញ់មួយហើយប្រាកដថាប្រព័ន្ធគ្រប់គ្រាន់បានបោះចោលព័ត៌មានលំអិតកាតឥណទានរួមមានកាតបួនខ្ទង់ចុងក្រោយនៃកាតកាលបរិច្ឆេទផុតកំណត់និងឈ្មោះដែលទាក់ទងនឹងកាត។ វាប្រហែលជាមិនមែនជាលេខសន្លឹកបៀរពេញលេញទេប៉ុន្តែនេះនៅតែជាបញ្ហាធំដែលនឹងត្រូវបានជួសជុលភ្លាមៗ … ត្រូវហើយ?
[ប៉ូល] បានលាតត្រដាងពីភាពងាយរងគ្រោះដែលមានទំនួលខុសត្រូវចំពោះ MoonPig ក្នុងខែសីហាឆ្នាំ 2013. Moonpig បានឆ្លើយតបដោយការនិយាយថាបញ្ហានេះគឺដោយសារតែលេខកូដកេរ្តិ៍ដំណែលហើយវានឹងត្រូវបានជួសជុលយ៉ាងឆាប់រហ័ស។ មួយឆ្នាំក្រោយមក [ប៉ូល] បានដើរតាមព្រះច័ន្ទ។ គាត់ត្រូវបានគេប្រាប់ថាវាគួរតែត្រូវបានដោះស្រាយមុនបុណ្យណូអែល។ នៅថ្ងៃទី 5 ខែមករាឆ្នាំ 2015 ភាពងាយរងគ្រោះនៅតែមិនទាន់ត្រូវបានដោះស្រាយនៅឡើយទេ។ [ប៉ូល] បានសម្រេចចិត្តថាគ្រប់គ្រាន់ហើយហើយគាត់ក៏អាចផ្សព្វផ្សាយការរកឃើញរបស់គាត់តាមអ៊ិចធីធីដើម្បីជួយឱ្យមានបញ្ហាដែរ។ វាហាក់ដូចជាបានធ្វើការ។ ចាប់តាំងពីពេលនោះមក MoonPig បានបិទ API របស់ខ្លួនហើយបានចេញសេចក្តីថ្លែងការណ៍មួយតាមរយៈ Twitter ដែលអះអាងថា “រាល់ពាក្យសម្ងាត់និងព័ត៌មានទូទាត់ប្រាក់មានហើយតែងតែមានសុវត្ថិភាព” ។ ពិតជាអស្ចារ្យហើយទាំងអស់ប៉ុន្តែវានឹងមានន័យបន្តិចប្រសិនបើពាក្យសម្ងាត់មានសារៈសំខាន់។