Тайлер Кросс
У Shaara, компании, которая разрабатывает плагины Shopify, произошла серьезная утечка данных, оставшаяся незамеченной более восьми месяцев.
По мнению исследователей, нашедших данные, весьма вероятно, что хакеры хотя бы один раз получили доступ к этой утечке данных, поскольку среди данных они обнаружили записку о выкупе с требованием примерно 640 долларов в биткойнах.
Общая утечка содержала более 25 ГБ данных, хранившихся в базе данных Shaara MongoDB, которая была общедоступной более восьми месяцев. В незашифрованных данных содержалось более 7.6 млн индивидуальных заказов, а также персональные данные клиентов.
Любой мог свободно просматривать адреса электронной почты, полные имена, номера телефонов, IP-адреса, домашние адреса клиентов, информацию о заказах и их отслеживании, а также детализацию частичных платежей.
Поняв, что Шаара, скорее всего, не знала о взломе, исследователи Cybernews связались с генеральным директором, проинформировав его о взломе и попросив дать дополнительные комментарии. Хотя компания немедленно закрыла утечку, генеральный директор заявил, что утечка не содержит каких-либо конфиденциальных данных о клиентах.
Утечка подчеркивает серьезную проблему, лежащую в основе практики кибербезопасности Shopify. Его сканирование безопасности часто не позволяет обнаружить недостатки в незащищенной инфраструктуре, что приводит к тому, что множество компаний, таких как Shaara, раскрывают конфиденциальные данные клиентов.
Другие утечки данных, обнаруженные с помощью плагинов Shopify, включают The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only и Binky Boo, у которых были большие утечки данных. Некоторые из этих компаний имели полностью доступную платежную информацию.
Каждую из компаний попросили дать дополнительные комментарии, но они пока не ответили.
Исследователи отмечают, что эта проблема вызвана не опытными хакерами, использующими новейшие технологии, а скорее компаниями, не соблюдающими базовые стандарты кибербезопасности. Даже базовое программное обеспечение для шифрования защитило бы данные клиентов в случае утечки, а простые и доступные решения, такие как 256-битное шифрование AES, никогда раньше не были взломаны.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
