Tyler Cross
Objavljeno dne: Marec 28, 2024
Shaara, podjetje, ki razvija vtičnike Shopify, je imelo kritično uhajanje podatkov neodkrito več kot osem mesecev.
Po mnenju raziskovalcev, ki so našli podatke, je zelo verjetno, da so hekerji vsaj enkrat dostopali do tega uhajanja podatkov, saj so med podatki našli obvestilo o odkupnini, ki je zahtevalo približno 640 dolarjev v bitcoinih.
Skupno uhajanje je vsebovalo več kot 25 GB podatkov, shranjenih v Shaarini bazi podatkov MongoDB, ki je bila javno dostopna več kot osem mesecev. Nešifrirani podatki so vsebovali več kot 7.6 milijona posameznih naročil ter osebne podatke o kupcih.
Vsakdo je lahko prosto pogledal e-poštne naslove strank, polna imena, telefonske številke, naslove IP, domače naslove, podatke o naročilu in sledenju naročilu ter delne podrobnosti o plačilu.
Ko so ugotovili, da Shaara najverjetneje ni vedela za kršitev, so raziskovalci Cybernews stopili v stik z izvršnim direktorjem, jih obvestili o kršitvi in prosili za nadaljnje komentarje. Medtem ko je podjetje takoj zaprlo kršitev, je izvršni direktor trdil, da uhajanje ne vsebuje nobenih občutljivih podatkov o strankah.
Puščanje poudarja velik problem, ki je podlaga za kibernetsko varnost Shopify. Njeni varnostni pregledi pogosto ne odkrijejo napak v nezavarovani infrastrukturi, zaradi česar mnoga podjetja, kot je Shaara, razkrijejo občutljive podatke strank.
Druga uhajanja podatkov, odkrita prek vtičnikov Shopify, vključujejo The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only in Binky Boo, ki so imeli veliko uhajanja podatkov. Nekatera od teh podjetij so imela popolnoma dostopne podatke o plačilu.
Vsako od podjetij je bilo zaprošeno za dodatne komentarje, vendar se še niso odzvali.
Raziskovalci poudarjajo, da te težave ne povzročajo prefinjeni hekerji, ki uporabljajo najnovejšo tehnologijo, temveč podjetja, ki ne izpolnjujejo osnovnih standardov kibernetske varnosti. Celo osnovna programska oprema za šifriranje bi zaščitila podatke strank v primeru uhajanja s preprostimi in dostopnimi rešitvami, kot je 256-bitno šifriranje AES, ki še nikoli ni bilo vlomljeno.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/