Tyler Cross
Julkaistu: Maaliskuussa 28, 2024
Shaaralla, Shopify-laajennuksia kehittävällä yrityksellä, kriittinen tietovuoto jäi havaitsematta yli kahdeksan kuukauden ajan.
Tiedot löytäneiden tutkijoiden mukaan on erittäin todennäköistä, että hakkerit pääsivät tietovuotoon ainakin kerran, koska he löysivät tietojen joukosta lunnaita, jotka vaativat noin 640 dollaria Bitcoinissa.
Kokonaisvuoto sisälsi yli 25 Gt Shaaran MongoDB-tietokantaan tallennettua dataa, joka oli julkisesti saatavilla yli kahdeksan kuukautta. Salaamattomat tiedot sisälsivät yli 7.6 miljoonaa yksittäistä tilausta sekä henkilötietoja asiakkaista.
Jokainen sai vapaasti katsoa asiakkaiden sähköpostiosoitteita, koko nimiä, puhelinnumeroita, IP-osoitteita, kotiosoitteita, tilauksen ja tilauksen seurantatietoja sekä osittaisia maksutietoja.
Tajuttuaan, että Shaara ei todennäköisesti ollut tietoinen rikkomuksesta, Cybernewsin tutkijat ottivat yhteyttä toimitusjohtajaan, ilmoittivat heille rikkomuksesta ja pyysivät lisäkommentteja. Vaikka yritys sulki välittömästi rikkomuksen, toimitusjohtaja väitti, että vuoto ei sisältänyt arkaluonteisia asiakastietoja.
Vuoto korostaa Shopifyn kyberturvallisuuskäytäntöjen taustalla olevaa suurta ongelmaa. Sen suojaustarkistukset eivät usein pysty havaitsemaan suojaamattoman infrastruktuurin puutteita, minkä vuoksi monet Shaaran kaltaiset yritykset paljastavat arkaluontoisia asiakastietoja.
Muita Shopify-laajennusten kautta löydettyjä tietovuotoja ovat The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only ja Binky Boo, joilla on ollut suuria tietovuotoja. Joillakin näistä yrityksistä oli täysin saatavilla maksutiedot.
Jokaiselta yhtiöltä pyydettiin lisäkommentteja, mutta he eivät ole vielä vastanneet.
Tutkijat huomauttavat, että tämä ongelma ei johdu uusinta teknologiaa käyttävistä kehittyneistä hakkereista vaan pikemminkin siitä, että yritykset eivät täytä kyberturvallisuuden perusstandardeja. Jopa perussalausohjelmistot olisivat turvanneet asiakastiedot vuodon varalta, sillä yksinkertaisia ja helppokäyttöisiä ratkaisuja, kuten 256-bittistä AES-salausta, ei ole koskaan aiemmin murrettu.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
