Tyler Cross
Được đăng trên: 28 Tháng ba, 2024
Shaara, một công ty phát triển plugin Shopify, đã xảy ra vụ rò rỉ dữ liệu nghiêm trọng mà không bị phát hiện trong hơn 8 tháng.
Theo các nhà nghiên cứu đã tìm thấy dữ liệu, rất có thể tin tặc đã truy cập vào vụ rò rỉ dữ liệu này ít nhất một lần, vì họ đã tìm thấy thông báo đòi tiền chuộc trong số dữ liệu yêu cầu khoảng 640 đô la Bitcoin.
Tổng số vụ rò rỉ chứa hơn 25 GB dữ liệu được lưu trữ trong cơ sở dữ liệu MongoDB của Shaara, có thể truy cập công khai trong hơn 7.6 tháng. Dữ liệu không được mã hóa chứa hơn XNUMX triệu đơn đặt hàng riêng lẻ cũng như dữ liệu cá nhân của khách hàng.
Bất cứ ai cũng có thể tự do xem địa chỉ email, tên đầy đủ, số điện thoại, địa chỉ IP, địa chỉ nhà riêng, thông tin theo dõi đơn hàng và đơn hàng cũng như chi tiết thanh toán một phần của khách hàng.
Sau khi nhận ra rằng Shaara rất có thể không biết về hành vi vi phạm, các nhà nghiên cứu của Cybernews đã liên hệ với Giám đốc điều hành, thông báo cho họ về hành vi vi phạm và yêu cầu bình luận thêm. Trong khi công ty ngay lập tức đóng cửa vụ vi phạm, CEO vẫn tuyên bố rằng vụ rò rỉ không chứa bất kỳ dữ liệu nhạy cảm nào của khách hàng.
Vụ rò rỉ nêu bật một vấn đề lớn trong hoạt động an ninh mạng của Shopify. Quá trình quét bảo mật của nó thường không phát hiện được lỗ hổng trong cơ sở hạ tầng không bảo mật, khiến vô số công ty như Shaara bị lộ dữ liệu nhạy cảm của khách hàng.
Các rò rỉ dữ liệu khác được tìm thấy thông qua các plugin Shopify bao gồm The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invitation Only và Binky Boo đã bị rò rỉ dữ liệu lớn. Một số công ty này có đầy đủ thông tin thanh toán có thể truy cập được.
Mỗi công ty đều được yêu cầu bình luận thêm, nhưng họ vẫn chưa phản hồi.
Các nhà nghiên cứu chỉ ra rằng vấn đề này không phải do các tin tặc tinh vi sử dụng công nghệ mới nhất gây ra mà là do các công ty không đáp ứng các tiêu chuẩn an ninh mạng cơ bản. Ngay cả phần mềm mã hóa cơ bản cũng có thể bảo vệ dữ liệu của khách hàng trong trường hợp bị rò rỉ, với các giải pháp đơn giản và dễ tiếp cận như mã hóa AES 256-bit chưa từng bị bẻ khóa trước đây.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
