Tyler Croce
Shaara, un'azienda che sviluppa plug-in Shopify, ha riscontrato una perdita di dati critica che non è stata rilevata per oltre otto mesi.
Secondo i ricercatori che hanno trovato i dati, è molto probabile che gli hacker abbiano avuto accesso a questa fuga di dati almeno una volta, poiché hanno trovato una richiesta di riscatto tra i dati che richiedeva circa 640 dollari in Bitcoin.
La fuga di dati totale conteneva più di 25 GB di dati archiviati nel database MongoDB di Shaara, accessibile pubblicamente per più di otto mesi. I dati non crittografati contenevano oltre 7.6 milioni di ordini singoli nonché dati personali dei clienti.
Chiunque era libero di consultare gli indirizzi e-mail, i nomi completi, i numeri di telefono, gli indirizzi IP, gli indirizzi di casa dei clienti, le informazioni sugli ordini e sul tracciamento degli ordini e i dettagli parziali dei pagamenti.
Dopo aver realizzato che Shaara molto probabilmente non era a conoscenza della violazione, i ricercatori di Cybernews hanno contattato il CEO, informandoli della violazione e chiedendo ulteriori commenti. Sebbene l'azienda abbia immediatamente chiuso la violazione, il CEO ha affermato che la fuga di notizie non conteneva dati sensibili dei clienti.
La fuga di notizie evidenzia un grave problema alla base delle pratiche di sicurezza informatica di Shopify. Le sue scansioni di sicurezza spesso non riescono a rilevare difetti nelle infrastrutture non protette, portando una moltitudine di aziende come Shaara a esporre i dati sensibili dei clienti.
Altre fughe di dati riscontrate tramite i plugin Shopify includono The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only e Binky Boo che hanno avuto grandi fughe di dati. Alcune di queste società disponevano di informazioni di pagamento completamente accessibili.
A ciascuna società è stato chiesto un ulteriore commento, ma non hanno ancora risposto.
I ricercatori sottolineano che questo problema non è causato da hacker sofisticati che utilizzano la tecnologia più recente, ma piuttosto dal fatto che le aziende non riescono a soddisfare gli standard di sicurezza informatica di base. Anche un software di crittografia di base avrebbe salvaguardato i dati dei clienti in caso di fuga di dati, con soluzioni semplici e accessibili come la crittografia AES a 256 bit che non erano mai state violate prima.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
