Tyler Cross
Shaara, et selskap som utvikler Shopify-plugins, hadde en kritisk datalekkasje som ikke ble oppdaget i over åtte måneder.
I følge forskerne som fant dataene, er det høyst sannsynlig at hackere fikk tilgang til denne datalekkasjen minst én gang, ettersom de fant en løsepenge blant dataene som krever omtrent $640 i Bitcoin.
Den totale lekkasjen inneholdt mer enn 25 GB data som ble lagret i Shaaras MongoDB-database som var offentlig tilgjengelig i mer enn åtte måneder. De ukrypterte dataene inneholdt mer enn 7.6 millioner individuelle bestillinger samt personopplysninger om kunder.
Hvem som helst sto fritt til å se på kundenes e-postadresser, fullstendige navn, telefonnumre, IP-adresser, hjemmeadresser, sporingsinformasjon for ordre og ordre og delvis betalingsinformasjon.
Etter å ha innsett at Shaara mest sannsynlig var uvitende om bruddet, tok Cybernews-forskere kontakt med administrerende direktør, informerte dem om bruddet og ba om ytterligere kommentarer. Mens selskapet umiddelbart lukket bruddet, hevdet administrerende direktør at lekkasjen ikke inneholdt noen sensitiv kundedata.
Lekkasjen fremhever et stort problem som ligger til grunn for Shopifys cybersikkerhetspraksis. Sikkerhetsskanningene oppdager ofte feil i usikret infrastruktur, noe som fører til at en rekke selskaper som Shaara avslører sensitiv kundedata.
Andre datalekkasjer funnet gjennom Shopify-plugins inkluderer The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only og Binky Boo som har hatt store datalekkasjer. Noen av disse selskapene hadde fullt tilgjengelig betalingsinformasjon.
Hvert av selskapene ble bedt om ytterligere kommentarer, men de har ennå ikke svart.
Forskere påpeker at dette problemet ikke er forårsaket av sofistikerte hackere som bruker den nyeste teknologien, men snarere av selskaper som ikke oppfyller grunnleggende cybersikkerhetsstandarder. Selv grunnleggende krypteringsprogramvare ville ha sikret kundedata i tilfelle en lekkasje, med enkle og tilgjengelige løsninger som 256-bit AES-kryptering som aldri har blitt knekket før.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
