טיילר קרוס
לשערה, חברה המפתחת תוספי Shopify, לא זוהתה דליפת נתונים קריטית במשך יותר משמונה חודשים.
על פי החוקרים שמצאו את הנתונים, סביר מאוד שהאקרים ניגשו לדליפת הנתונים הזו לפחות פעם אחת, שכן הם מצאו שטר כופר בין הנתונים שדרשו כ-640 דולר בביטקוין.
הדליפה הכוללת הכילה יותר מ-25 GB של נתונים המאוחסנים במסד הנתונים MongoDB של שערה שהיה נגיש לציבור במשך יותר משמונה חודשים. הנתונים הלא מוצפנים הכילו יותר מ-7.6 מיליון הזמנות בודדות וכן נתונים אישיים על לקוחות.
כל אחד היה חופשי להסתכל על כתובות האימייל של הלקוחות, השמות המלאים, מספרי הטלפון, כתובות ה-IP, כתובות הבית, פרטי מעקב אחר הזמנות והזמנות ופרטי תשלום חלקיים.
לאחר שהבינו כי ככל הנראה שערה לא הייתה מודעת להפרה, חוקרי סייברניוז פנו למנכ"ל, הודיעו להם על ההפרה וביקשו תגובה נוספת. בעוד שהחברה סגרה מיד את ההפרה, המנכ"ל טען כי ההדלפה לא מכילה כל נתוני לקוחות רגישים.
ההדלפה מדגישה בעיה מרכזית העומדת בבסיס נוהלי אבטחת הסייבר של Shopify. סריקות האבטחה שלה לרוב לא מצליחות לזהות פגמים בתשתית לא מאובטחת, מה שמוביל שפע של חברות כמו שארה לחשוף נתוני לקוחות רגישים.
דליפות נתונים נוספות שנמצאו דרך התוספים של Shopify כוללות את The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only ו- Binky Boo שהיו להם דליפות נתונים גדולות. לחלק מהחברות הללו היה מידע תשלום נגיש לחלוטין.
כל אחת מהחברות התבקשה להגיב, אך הן טרם הגיבו.
חוקרים מציינים כי בעיה זו אינה נגרמת על ידי האקרים מתוחכמים המשתמשים בטכנולוגיה העדכנית ביותר, אלא על ידי חברות שלא עומדות בתקני אבטחת סייבר בסיסיים. אפילו תוכנת הצפנה בסיסית הייתה שומרת על נתוני לקוחות במקרה של דליפה, כאשר פתרונות פשוטים ונגישים כמו הצפנת AES של 256 סיביות מעולם לא נפצחו קודם לכן.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
