Gepubliceerd op: 28 maart 2024

Bij Shaara, een bedrijf dat Shopify-plug-ins ontwikkelt, bleef een kritiek datalek ruim acht maanden onopgemerkt.

Volgens de onderzoekers die de gegevens hebben gevonden, is het zeer waarschijnlijk dat hackers minstens één keer toegang hebben gekregen tot dit datalek, omdat ze tussen de gegevens een losgeldbriefje vonden waarin ongeveer $640 aan Bitcoin werd gevraagd.

Het totale lek bevatte meer dan 25 GB aan gegevens die waren opgeslagen in de MongoDB-database van Shaara, die ruim acht maanden openbaar toegankelijk was. De niet-versleutelde gegevens bevatten meer dan 7.6 miljoen individuele bestellingen en persoonlijke gegevens van klanten.

Iedereen was vrij om de e-mailadressen van klanten, volledige namen, telefoonnummers, IP-adressen, thuisadressen, informatie over bestellingen en het volgen van bestellingen, en gedeeltelijke betalingsgegevens te bekijken.

Nadat ze zich realiseerden dat Shaara hoogstwaarschijnlijk niet op de hoogte was van de inbreuk, namen Cybernews-onderzoekers contact op met de CEO, informeerden hen over de inbreuk en vroegen om verder commentaar. Terwijl het bedrijf de inbreuk onmiddellijk sloot, beweerde de CEO dat het lek geen gevoelige klantgegevens bevatte.

Het lek benadrukt een groot probleem dat ten grondslag ligt aan de cyberbeveiligingspraktijken van Shopify. De beveiligingsscans slagen er vaak niet in om fouten in de onbeveiligde infrastructuur te ontdekken, waardoor een groot aantal bedrijven zoals Shaara gevoelige klantgegevens blootlegt.

Andere datalekken gevonden via Shopify-plug-ins zijn onder meer The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invitation Only en Binky Boo, die grote datalekken hebben gehad. Sommige van deze bedrijven beschikten over volledig toegankelijke betalingsinformatie.

Elk van de bedrijven werd om verder commentaar gevraagd, maar ze hebben nog niet gereageerd.

Onderzoekers wijzen erop dat dit probleem niet wordt veroorzaakt door geavanceerde hackers die de nieuwste technologie gebruiken, maar eerder doordat bedrijven er niet in slagen te voldoen aan de basisnormen voor cyberbeveiliging. Zelfs eenvoudige versleutelingssoftware zou klantgegevens hebben beschermd in geval van een lek, waarbij eenvoudige en toegankelijke oplossingen zoals 256-bit AES-versleuteling nog nooit eerder waren gekraakt.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/