Defectele de securitate în Audible înseamnă că site-ul nu așteaptă să autentifice plățile cu cardul de credit înainte de a permite utilizatorilor să cumpere cărți, ceea ce înseamnă că oricine poate furniza site-ului informații false și poate descărca o cantitate nelimitată de cărți audio.

permite

Într-un videoclip furnizat Business Insider, Alan Joseph, un student în informatică de 19 ani din Bangalore, India, a demonstrat lacuna. Business Insider a reușit să reproducă tehnica utilizată de Joseph pentru a descărca cărți audio gratuit.

Folosind un nume fals, o adresă de e-mail falsă și un card de credit fals, utilizatorii pot crea un cont pe Audible și pot achiziționa orice program membru. Business Insider a reușit să achiziționeze cel mai scump program de membru, un „Platinum Annual Membership” de 229 USD, cu 24 de cărți, folosind informații despre cardul de credit fals.

După ce calitatea de membru este aplicată unui cont, utilizatorilor li se acordă un număr de credite pentru a cumpăra cărți ca parte a calității de membru. În ciuda utilizării detaliilor cardului fals randomizat, creditele sunt aplicate în continuare conturilor.

Amazon verifică informațiile despre cardul de credit numai după ce un utilizator „cumpără” o carte audio folosind un credit obținut dintr-un program de membru achiziționat folosind un card de credit fals.

Dar avertismentul afișat de Amazon după ce a încercat să verifice plata este ușor evitat. Tot ce trebuie să facă utilizatorii este să își reînnoiască calitatea de membru folosind informațiile despre cardul fals și au mai multe credite cu care să cumpere cărți audio.

E-mailurile afișate către Business Insider dezvăluie că Amazon și Audible au fost informați pentru prima dată despre exploatare în martie 2013, dar nu au reușit să răspundă la avertismentele repetate despre lacună.

Într-o declarație adresată Business Insider, Audible a subliniat că datele clienților nu erau expuse riscului din cauza lacunei site-ului, remarcând „Aceasta este o problemă de fraudă, nu o problemă de securitate. Activitatea frauduloasă nu a pus nicio informație despre clienți la risc de expunere și nici nu a afectat experiența clientului în utilizarea Audible.com; niciun client onest Audible nu a fost sau va fi rănit de acest lucru. În timp ce lucrăm constant pentru a îmbunătăți ușurința utilizării de către clienți, orice încălcare momentană este închisă rapid prin procesul nostru atunci când sunt folosite carduri de credit invalide. Luăm în serios actul de fraudă - și întotdeauna o vom face și o vom face întotdeauna. "

Dacă Audible a verificat informațiile despre cardul de credit înainte de a furniza conturi cu credite de carte, atunci lacuna nu ar funcționa. Dar site-ul are o abordare relaxată a securității, permițând utilizatorilor să se înscrie cu adrese de e-mail false și să cumpere articole fără a verifica atât de mult adresa de e-mail utilizată.