تايلر كروس
تعرضت شركة Shaara، الشركة التي تقوم بتطوير مكونات Shopify الإضافية، لتسرب بيانات مهم لم يتم اكتشافه لأكثر من ثمانية أشهر.
وفقًا للباحثين الذين عثروا على البيانات، فمن المحتمل جدًا أن يكون المتسللون قد وصلوا إلى تسرب البيانات هذه مرة واحدة على الأقل، حيث عثروا على مذكرة فدية بين البيانات التي تطالب بحوالي 640 دولارًا من عملة البيتكوين.
يحتوي إجمالي التسريب على أكثر من 25 جيجابايت من البيانات المخزنة في قاعدة بيانات MongoDB الخاصة بشركة Shaara والتي كانت متاحة للجمهور لأكثر من ثمانية أشهر. وتضمنت البيانات غير المشفرة أكثر من 7.6 مليون طلب فردي بالإضافة إلى بيانات شخصية عن العملاء.
كان لأي شخص الحرية في الاطلاع على عناوين البريد الإلكتروني للعملاء، والأسماء الكاملة، وأرقام الهواتف، وعناوين IP، وعناوين المنازل، ومعلومات تتبع الطلب والطلب، وتفاصيل الدفع الجزئي.
وبعد أن أدركوا أن شعارا لم يكن على علم بالاختراق على الأرجح، اتصل باحثو Cybernews بالرئيس التنفيذي لإبلاغهم بالانتهاك وطلبوا المزيد من التعليقات. وبينما أغلقت الشركة الاختراق على الفور، ادعى الرئيس التنفيذي أن التسريب لم يحتوي على أي بيانات حساسة للعملاء.
يسلط التسرب الضوء على مشكلة كبيرة تكمن وراء ممارسات الأمن السيبراني في Shopify. غالبًا ما تفشل عمليات الفحص الأمني الخاصة بها في اكتشاف العيوب في البنية التحتية غير الآمنة، مما يدفع العديد من الشركات مثل Shaara إلى الكشف عن بيانات العملاء الحساسة.
تم العثور على تسربات بيانات أخرى من خلال مكونات Shopify الإضافية، بما في ذلك The Tribe Concepts وMesmerize India وSnitch وBliss Club وBy Invite Only وBinky Boo التي تعرضت لتسربات كبيرة للبيانات. كان لدى بعض هذه الشركات معلومات دفع يمكن الوصول إليها بالكامل.
وقد طُلب من كل شركة تقديم مزيد من التعليقات، لكنها لم ترد بعد.
ويشير الباحثون إلى أن هذه المشكلة لا تنتج عن قراصنة متطورين يستخدمون أحدث التقنيات، بل بسبب فشل الشركات في تلبية معايير الأمن السيبراني الأساسية. حتى برامج التشفير الأساسية كانت ستحمي بيانات العملاء في حالة حدوث تسرب، مع حلول بسيطة ويمكن الوصول إليها مثل تشفير AES 256 بت الذي لم يتم اختراقه من قبل.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
