Tyler Çapraz
Shopify eklentileri geliştiren bir şirket olan Shaara, sekiz aydan fazla bir süredir kritik bir veri sızıntısının tespit edilememesiyle karşılaştı.
Verileri bulan araştırmacılara göre, bilgisayar korsanlarının bu veri sızıntısına en az bir kez erişmiş olmaları kuvvetle muhtemel çünkü veriler arasında yaklaşık 640 dolarlık Bitcoin talep eden bir fidye notu buldular.
Toplam sızıntı, Shaara'nın sekiz aydan uzun bir süre boyunca halka açık olan MongoDB veritabanında depolanan 25 GB'tan fazla veriyi içeriyordu. Şifrelenmemiş veriler, 7.6 milyondan fazla bireysel siparişin yanı sıra müşterilere ait kişisel verileri içeriyordu.
Herkes müşterilerin e-posta adreslerine, tam adlarına, telefon numaralarına, IP adreslerine, ev adreslerine, sipariş ve sipariş takip bilgilerine ve kısmi ödeme ayrıntılarına bakmakta özgürdü.
Shaara'nın büyük olasılıkla ihlalden haberi olmadığını anlayan Cybernews araştırmacıları CEO ile temasa geçerek onları ihlal konusunda bilgilendirdi ve daha fazla yorum istedi. Şirket ihlali derhal kapatırken CEO, sızıntının herhangi bir hassas müşteri verisi içermediğini iddia etti.
Sızıntı, Shopify'ın siber güvenlik uygulamalarının altında yatan büyük bir sorunu vurguluyor. Güvenlik taramaları genellikle güvenli olmayan altyapıdaki kusurları tespit etmekte başarısız oluyor ve bu da Shaara gibi çok sayıda şirketin hassas müşteri verilerini ifşa etmesine yol açıyor.
Shopify eklentileri aracılığıyla bulunan diğer veri sızıntıları arasında büyük miktarda veri sızıntısı olan The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only ve Binky Boo yer alıyor. Bu şirketlerin bazılarının tamamen erişilebilir ödeme bilgileri vardı.
Şirketlerin her birinin daha fazla yorum yapması istendi ancak henüz yanıt vermediler.
Araştırmacılar, bu sorunun en son teknolojiyi kullanan gelişmiş bilgisayar korsanlarından değil, temel siber güvenlik standartlarını karşılayamayan şirketlerden kaynaklandığına dikkat çekiyor. Daha önce hiç kırılmamış 256 bit AES şifreleme gibi basit ve erişilebilir çözümler sayesinde, temel şifreleme yazılımı bile bir sızıntı durumunda müşteri verilerini koruyabilirdi.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
