Τάιλερ Κρος
Δημοσιεύθηκε στις: Μαρτίου 28, 2024
Η Shaara, μια εταιρεία που αναπτύσσει προσθήκες Shopify, είχε μια κρίσιμη διαρροή δεδομένων που δεν ανιχνεύτηκε για περισσότερους από οκτώ μήνες.
Σύμφωνα με τους ερευνητές που βρήκαν τα δεδομένα, είναι πολύ πιθανό οι χάκερ να είχαν πρόσβαση σε αυτή τη διαρροή δεδομένων τουλάχιστον μία φορά, καθώς βρήκαν ένα σημείωμα λύτρων μεταξύ των δεδομένων που απαιτούσαν περίπου 640 δολάρια σε Bitcoin.
Η συνολική διαρροή περιείχε περισσότερα από 25 GB δεδομένων που ήταν αποθηκευμένα στη βάση δεδομένων MongoDB της Shaara, η οποία ήταν δημόσια προσβάσιμη για περισσότερους από οκτώ μήνες. Τα μη κρυπτογραφημένα δεδομένα περιείχαν περισσότερες από 7.6 εκατομμύρια μεμονωμένες παραγγελίες καθώς και προσωπικά δεδομένα πελατών.
Οποιοσδήποτε ήταν ελεύθερος να δει τις διευθύνσεις email των πελατών, τα πλήρη ονόματα, τους αριθμούς τηλεφώνου, τις διευθύνσεις IP, τις διευθύνσεις σπιτιού, τις πληροφορίες παρακολούθησης παραγγελιών και παραγγελιών και τα στοιχεία μερικής πληρωμής.
Αφού συνειδητοποίησαν ότι η Shaara πιθανότατα δεν γνώριζε την παραβίαση, οι ερευνητές του Cybernews επικοινώνησαν με τον Διευθύνοντα Σύμβουλο, ενημερώνοντάς τους για την παραβίαση και ζήτησαν περαιτέρω σχόλια. Ενώ η εταιρεία έκλεισε αμέσως την παραβίαση, ο Διευθύνων Σύμβουλος ισχυρίστηκε ότι η διαρροή δεν περιείχε ευαίσθητα δεδομένα πελατών.
Η διαρροή υπογραμμίζει ένα σημαντικό πρόβλημα που διέπει τις πρακτικές κυβερνοασφάλειας του Shopify. Οι σαρώσεις ασφαλείας του συχνά αποτυγχάνουν να εντοπίσουν ελαττώματα σε μη ασφαλή υποδομή, με αποτέλεσμα πολλές εταιρείες όπως η Shaara να εκθέσουν ευαίσθητα δεδομένα πελατών.
Άλλες διαρροές δεδομένων που βρέθηκαν μέσω των προσθηκών Shopify περιλαμβάνουν τα The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only και Binky Boo που είχαν μεγάλες διαρροές δεδομένων. Ορισμένες από αυτές τις εταιρείες είχαν πλήρως προσβάσιμες πληροφορίες πληρωμής.
Κάθε μία από τις εταιρείες κλήθηκε για περαιτέρω σχόλια, αλλά δεν έχουν ακόμη απαντήσει.
Οι ερευνητές επισημαίνουν ότι αυτό το ζήτημα δεν προκαλείται από εξελιγμένους χάκερ που χρησιμοποιούν την πιο πρόσφατη τεχνολογία, αλλά από εταιρείες που δεν πληρούν τα βασικά πρότυπα ασφάλειας στον κυβερνοχώρο. Ακόμη και το βασικό λογισμικό κρυπτογράφησης θα είχε διασφαλίσει τα δεδομένα των πελατών σε περίπτωση διαρροής, με απλές και προσβάσιμες λύσεις όπως η κρυπτογράφηση AES 256-bit να μην έχουν ποτέ σπάσει στο παρελθόν.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
