Tyler Cruz
Publicado em: 28 de março de 2024
Shaara, uma empresa que desenvolve plug-ins para Shopify, teve um vazamento crítico de dados que passou despercebido por mais de oito meses.
De acordo com os pesquisadores que encontraram os dados, é altamente provável que os hackers tenham acessado esse vazamento de dados pelo menos uma vez, pois encontraram uma nota de resgate entre os dados exigindo cerca de US$ 640 em Bitcoin.
O vazamento total continha mais de 25 GB de dados armazenados no banco de dados MongoDB de Shaara, que ficou acessível publicamente por mais de oito meses. Os dados não criptografados continham mais de 7.6 milhões de pedidos individuais, bem como dados pessoais de clientes.
Qualquer pessoa tinha liberdade para consultar os endereços de e-mail dos clientes, nomes completos, números de telefone, endereços IP, endereços residenciais, informações de pedidos e rastreamento de pedidos e detalhes parciais de pagamento.
Depois de perceber que Shaara provavelmente não tinha conhecimento da violação, os pesquisadores da Cybernews contataram o CEO, informando-os sobre a violação e pedindo mais comentários. Embora a empresa tenha encerrado imediatamente a violação, o CEO alegou que o vazamento não continha quaisquer dados confidenciais do cliente.
O vazamento destaca um grande problema subjacente às práticas de segurança cibernética do Shopify. Suas verificações de segurança muitas vezes não conseguem detectar falhas em infraestruturas não seguras, levando uma infinidade de empresas como a Shaara a expor dados confidenciais de clientes.
Outros vazamentos de dados encontrados por meio dos plug-ins do Shopify incluem The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invitation Only e Binky Boo, que tiveram grandes vazamentos de dados. Algumas dessas empresas tinham informações de pagamento totalmente acessíveis.
Cada uma das empresas foi solicitada a comentar mais, mas ainda não responderam.
Os investigadores salientam que este problema não é causado por hackers sofisticados que utilizam a tecnologia mais recente, mas sim por empresas que não cumprem os padrões básicos de segurança cibernética. Mesmo o software básico de criptografia teria protegido os dados do cliente em caso de vazamento, com soluções simples e acessíveis, como a criptografia AES de 256 bits, nunca antes quebrada.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
