Tyler Kreuz
Veröffentlicht am: 28. März 2024
Bei Shaara, einem Unternehmen, das Shopify-Plugins entwickelt, blieb ein kritisches Datenleck über acht Monate lang unentdeckt.
Laut den Forschern, die die Daten gefunden haben, ist es sehr wahrscheinlich, dass Hacker mindestens einmal auf dieses Datenleck zugegriffen haben, da sie unter den Daten einen Lösegeldschein gefunden haben, der rund 640 US-Dollar in Bitcoin forderte.
Das gesamte Leck umfasste mehr als 25 GB an Daten, die in der MongoDB-Datenbank von Shaara gespeichert waren, die mehr als acht Monate lang öffentlich zugänglich war. Die unverschlüsselten Daten enthielten mehr als 7.6 Millionen Einzelbestellungen sowie personenbezogene Daten von Kunden.
Jeder hatte die Möglichkeit, die E-Mail-Adressen, vollständigen Namen, Telefonnummern, IP-Adressen, Privatadressen, Bestellungen und Auftragsverfolgungsinformationen sowie Teilzahlungsdetails der Kunden einzusehen.
Nachdem sie erkannten, dass Shaara höchstwahrscheinlich nichts von dem Verstoß wusste, kontaktierten die Forscher von Cybernews den CEO, informierten ihn über den Verstoß und baten um weitere Kommentare. Während das Unternehmen den Verstoß sofort schloss, behauptete der CEO, dass das Leck keine sensiblen Kundendaten enthielt.
Das Leck verdeutlicht ein großes Problem, das den Cybersicherheitspraktiken von Shopify zugrunde liegt. Seine Sicherheitsscans erkennen häufig keine Schwachstellen in der ungesicherten Infrastruktur, was dazu führt, dass zahlreiche Unternehmen wie Shaara sensible Kundendaten preisgeben.
Weitere Datenlecks, die durch Shopify-Plugins gefunden wurden, sind The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only und Binky Boo, bei denen es zu großen Datenlecks kam. Einige dieser Unternehmen verfügten über vollständig zugängliche Zahlungsinformationen.
Jedes der Unternehmen wurde um weitere Kommentare gebeten, hat jedoch noch nicht geantwortet.
Forscher weisen darauf hin, dass dieses Problem nicht durch raffinierte Hacker verursacht wird, die die neueste Technologie nutzen, sondern vielmehr durch Unternehmen, die grundlegende Cybersicherheitsstandards nicht einhalten. Sogar einfache Verschlüsselungssoftware hätte Kundendaten im Falle eines Lecks geschützt, wobei einfache und zugängliche Lösungen wie die 256-Bit-AES-Verschlüsselung noch nie zuvor geknackt wurden.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
