Tyler Cross
Publicat în data de: Martie 28, 2024
Shaara, o companie care dezvoltă pluginuri Shopify, a avut o scurgere critică de date nedetectată timp de peste opt luni.
Potrivit cercetătorilor care au găsit datele, este foarte probabil ca hackerii să fi accesat această scurgere de date cel puțin o dată, deoarece au găsit o notă de răscumpărare printre date care cere aproximativ 640 USD în Bitcoin.
Scurgerea totală conținea peste 25 GB de date stocate în baza de date MongoDB a lui Shaara, care a fost accesibilă public timp de mai bine de opt luni. Datele necriptate au conținut peste 7.6 milioane de comenzi individuale, precum și date personale despre clienți.
Oricine era liber să se uite la adresele de e-mail ale clienților, numele complete, numerele de telefon, adresele IP, adresele de acasă, informațiile de urmărire a comenzilor și comenzilor și detaliile parțiale de plată.
După ce și-au dat seama că Shaara nu cunoștea, cel mai probabil, încălcarea, cercetătorii Cybernews l-au contactat pe CEO, informându-i despre încălcare și cerând comentarii suplimentare. În timp ce compania a închis imediat încălcarea, CEO-ul a susținut că scurgerea nu conține date sensibile ale clienților.
Scurgerea evidențiază o problemă majoră care stă la baza practicilor de securitate cibernetică ale Shopify. Scanările sale de securitate nu reușesc adesea să detecteze defecte ale infrastructurii nesecurizate, ceea ce determină o multitudine de companii precum Shaara să expună datele sensibile ale clienților.
Alte scurgeri de date găsite prin pluginurile Shopify includ The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only și Binky Boo, care au avut scurgeri mari de date. Unele dintre aceste companii aveau informații de plată complet accesibile.
Fiecare dintre companii a fost solicitată pentru comentarii suplimentare, dar încă nu a răspuns.
Cercetătorii subliniază că această problemă nu este cauzată de hackeri sofisticați care folosesc cea mai recentă tehnologie, ci mai degrabă de companiile care nu îndeplinesc standardele de bază de securitate cibernetică. Chiar și software-ul de criptare de bază ar fi protejat datele clienților în cazul unei scurgeri, cu soluții simple și accesibile, cum ar fi criptarea AES pe 256 de biți, care nu au fost niciodată sparte înainte.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
