Croix de Tyler
Shaara, une société qui développe des plugins Shopify, a vu une fuite de données critique passer inaperçue pendant plus de huit mois.
Selon les chercheurs qui ont trouvé les données, il est fort probable que les pirates aient accédé à cette fuite de données au moins une fois, car ils ont trouvé parmi les données une demande de rançon exigeant environ 640 $ en Bitcoin.
La fuite totale contenait plus de 25 Go de données stockées dans la base de données MongoDB de Shaara, accessible au public pendant plus de huit mois. Les données non cryptées contenaient plus de 7.6 millions de commandes individuelles ainsi que des données personnelles sur les clients.
N'importe qui était libre de consulter les adresses e-mail, les noms complets, les numéros de téléphone, les adresses IP, les adresses personnelles des clients, les informations de commande et de suivi des commandes, ainsi que les détails de paiement partiels.
Après avoir réalisé que Shaara n'était probablement pas au courant de la violation, les chercheurs de Cybernews ont contacté le PDG, les informant de la violation et lui demandant de plus amples commentaires. Alors que l'entreprise a immédiatement comblé la faille, le PDG a affirmé que la fuite ne contenait aucune donnée client sensible.
La fuite met en évidence un problème majeur sous-jacent aux pratiques de cybersécurité de Shopify. Ses analyses de sécurité ne parviennent souvent pas à détecter les failles des infrastructures non sécurisées, ce qui conduit une multitude d'entreprises comme Shaara à exposer les données sensibles de leurs clients.
Parmi les autres fuites de données détectées via les plugins Shopify, citons The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only et Binky Boo, qui ont subi d'importantes fuites de données. Certaines de ces sociétés disposaient d’informations de paiement entièrement accessibles.
Chacune des sociétés a été invitée à formuler des commentaires supplémentaires, mais elles n'ont pas encore répondu.
Les chercheurs soulignent que ce problème n'est pas causé par des pirates informatiques sophistiqués utilisant les dernières technologies, mais plutôt par des entreprises qui ne respectent pas les normes de base en matière de cybersécurité. Même un logiciel de cryptage de base aurait protégé les données des clients en cas de fuite, avec des solutions simples et accessibles comme le cryptage AES 256 bits n'ayant jamais été craquées auparavant.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
