Tylera Crossa
Opublikowany: 28 marca 2024 r.
Shaara, firma opracowująca wtyczki Shopify, miała niewykryty krytyczny wyciek danych przez ponad osiem miesięcy.
Według badaczy, którzy znaleźli te dane, jest wysoce prawdopodobne, że hakerzy przynajmniej raz uzyskali dostęp do tego wycieku danych, ponieważ znaleźli wśród danych notatkę z żądaniem okupu żądającą około 640 dolarów w Bitcoinach.
Całkowity wyciek obejmował ponad 25 GB danych przechowywanych w bazie danych MongoDB Shaary, która była publicznie dostępna przez ponad osiem miesięcy. W niezaszyfrowanych danych znalazło się ponad 7.6 mln indywidualnych zamówień oraz dane osobowe klientów.
Każdy mógł przeglądać adresy e-mail klientów, imiona i nazwiska, numery telefonów, adresy IP, adresy domowe, informacje o zamówieniach i śledzeniu zamówień oraz częściowe szczegóły płatności.
Po uświadomieniu sobie, że Shaara najprawdopodobniej nie była świadoma naruszenia, badacze Cybernews skontaktowali się z dyrektorem generalnym, informując go o naruszeniu i prosząc o dalszy komentarz. Choć firma natychmiast zamknęła naruszenie, dyrektor generalny twierdził, że wyciek nie zawierał żadnych wrażliwych danych klientów.
Wyciek uwydatnia poważny problem leżący u podstaw praktyk cyberbezpieczeństwa Shopify. Jej skany bezpieczeństwa często nie wykrywają luk w niezabezpieczonej infrastrukturze, co powoduje, że wiele firm, takich jak Shaara, ujawnia wrażliwe dane klientów.
Inne wycieki danych wykryte za pośrednictwem wtyczek Shopify obejmują The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only i Binky Boo, w przypadku których doszło do dużych wycieków danych. Niektóre z tych firm posiadały w pełni dostępne informacje dotyczące płatności.
Każda z firm została poproszona o dalszy komentarz, lecz jak dotąd nie udzieliła odpowiedzi.
Badacze podkreślają, że przyczyną tego problemu nie są wyrafinowani hakerzy korzystający z najnowszych technologii, ale raczej niespełnianie przez firmy podstawowych standardów cyberbezpieczeństwa. Nawet podstawowe oprogramowanie szyfrujące zabezpieczyłoby dane klienta w przypadku wycieku, a proste i dostępne rozwiązania, takie jak 256-bitowe szyfrowanie AES, nigdy wcześniej nie zostały złamane.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
