泰勒克罗斯
Shaara 是一家开发 Shopify 插件的公司,在八个多月的时间里发生了一次关键数据泄露事件,但一直未被发现。
根据发现这些数据的研究人员的说法,黑客很可能至少访问过一次该数据泄露事件,因为他们在数据中发现了一张勒索字条,索要大约 640 美元的比特币。
总共泄露的数据超过 25 GB,存储在 Shaara 的 MongoDB 数据库中,该数据库已公开访问了八个多月。未加密的数据包含超过 7.6 万个个人订单以及客户的个人数据。
任何人都可以自由查看客户的电子邮件地址、全名、电话号码、IP 地址、家庭住址、订单和订单跟踪信息以及部分付款详细信息。
在意识到 Shaara 很可能不知道此次泄露后,Cybernews 研究人员联系了首席执行官,告知他们此次泄露事件并要求进一步置评。虽然该公司立即关闭了泄露事件,但首席执行官声称泄露事件不包含任何敏感的客户数据。
此次泄露凸显了 Shopify 网络安全实践中的一个主要问题。其安全扫描通常无法检测到不安全基础设施中的缺陷,导致 Shaara 等众多公司暴露敏感的客户数据。
通过 Shopify 插件发现的其他数据泄露事件包括 The Tribe Concepts、Mesmerize India、Snitch、Bliss Club、By Invite Only 和 Binky Boo,它们都存在大量数据泄露。其中一些公司拥有完全可访问的支付信息。
每家公司都被要求进一步发表评论,但他们尚未做出回应。
研究人员指出,这个问题并不是由使用最新技术的老练黑客造成的,而是由未能满足基本网络安全标准的公司造成的。即使是基本的加密软件也可以在泄露的情况下保护客户数据,而简单且易于访问的解决方案(例如 256 位 AES 加密)以前从未被破解过。
