De populaire kaartensite Moonpig.com heeft een beveiligingslek in de website waardoor klantgegevens konden worden gestolen 17 maanden lang genegeerd. Beveiligingsonderzoeker Paul Price ontdekte in 2013 een kwetsbaarheid in de website, waarop hij op 18 augustus 2013 Moonpig waarschuwde.

Het probleem bevond zich in de Moonpig API (Application Progamming Interface). Er bleek geen authenticatie voor de verzoeken naar de API te worden gebruikt en was het mogelijk om een willekeurige klant-ID op te geven om zich als die persoon voor te doen. Op deze manier kon een aanvaller bestellingen in naam van andere klanten plaatsen, kaartinformatie ophalen, opgeslagen adresgegevens bekijken en nog veel meer zaken.

Na zijn eerste waarschuwing ontving Price een reactie dat het om "legacy code" ging en de ontwikkelaars het probleem direct zouden oplossen. Ruim een jaar later bleek het lek nog steeds aanwezig te zijn, waarop de onderzoeker in september 2014 om een update vroeg. Dit keer kreeg hij te horen dat het probleem "na kerst" zou worden verholpen. Aangezien de kwetsbaarheid op 5 januari niet was opgelost besloot Price de details te openbaren.

"17 maanden is meer dan genoeg om zo'n probleem te verhelpen. Het lijkt erop dat de privacy van klanten geen prioriteit van Moonpig is", aldus de onderzoeker. Dit leek effect te hebben, want drie uur na het verschijnen van zijn blogposting haalde Moonpig de kwetsbare API offline. Price kreeg echter geen enkele reactie. Moonpig biedt de mogelijkheid om via internet gepersonaliseerde kaarten te versturen. In 2007 had het bedrijf 90% van de Britse online kaartenmarkt in handen. In juli 2011 werd het bedrijf door PhotoBox overgenomen.