Tyler Cross
Shaara, ett företag som utvecklar Shopify-plugins, hade en kritisk dataläcka oupptäckt i över åtta månader.
Enligt forskarna som hittade uppgifterna är det mycket troligt att hackare fick åtkomst till denna dataläcka minst en gång, eftersom de hittade en lösenseddel bland uppgifterna som kräver ungefär $640 i Bitcoin.
Den totala läckan innehöll mer än 25 GB data som lagrades i Shaaras MongoDB-databas som var allmänt tillgänglig i mer än åtta månader. De okrypterade uppgifterna innehöll mer än 7.6 miljoner individuella beställningar samt personuppgifter om kunder.
Vem som helst var fri att titta på kundernas e-postadresser, fullständiga namn, telefonnummer, IP-adresser, hemadresser, order- och orderspårningsinformation och delar av betalningsinformation.
Efter att ha insett att Shaara med största sannolikhet inte var medveten om intrånget, kontaktade Cybernews-forskare VD:n, informerade dem om intrånget och bad om ytterligare kommentarer. Medan företaget omedelbart stängde intrånget, hävdade VD:n att läckan inte innehöll några känsliga kunduppgifter.
Läckan belyser ett stort problem som ligger bakom Shopifys cybersäkerhetspraxis. Dess säkerhetsskanningar misslyckas ofta med att upptäcka brister i osäkrad infrastruktur, vilket leder till att en mängd företag som Shaara exponerar känslig kunddata.
Andra dataläckor som hittats genom Shopify-plugins inkluderar The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only och Binky Boo som har haft stora dataläckor. Några av dessa företag hade fullt tillgänglig betalningsinformation.
Vart och ett av företagen ombads för ytterligare kommentarer, men de har ännu inte svarat.
Forskare påpekar att detta problem inte orsakas av sofistikerade hackare som använder den senaste tekniken utan snarare av att företag inte uppfyller grundläggande cybersäkerhetsstandarder. Även grundläggande krypteringsmjukvara skulle ha skyddat kunddata i händelse av en läcka, med enkla och tillgängliga lösningar som 256-bitars AES-kryptering som aldrig tidigare har knäckts.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
