泰勒克羅斯
Shaara 是一家開發 Shopify 外掛程式的公司,在八個多月的時間裡發生了關鍵資料外洩事件,但一直未被發現。
根據發現這些數據的研究人員的說法,駭客很可能至少訪問過一次該資料外洩事件,因為他們在資料中發現了一張勒索字條,要求約 640 美元的比特幣。
總共洩漏的資料超過 25 GB,儲存在 Shaara 的 MongoDB 資料庫中,該資料庫已公開存取了八個多月。未加密的資料包含超過 7.6 萬個個人訂單以及客戶的個人資料。
任何人都可以自由查看客戶的電子郵件地址、全名、電話號碼、IP 地址、家庭住址、訂單和訂單追蹤資訊以及部分付款詳細資訊。
在意識到 Shaara 很可能不知道這次洩露後,Cybernews 研究人員聯繫了首席執行官,告知他們此次洩漏事件並要求進一步置評。雖然該公司立即關閉了洩漏事件,但執行長聲稱洩漏事件不包含任何敏感的客戶資料。
這次外洩凸顯了 Shopify 網路安全實踐的一個主要問題。其安全掃描通常無法偵測到不安全基礎設施中的缺陷,導致 Shaara 等眾多公司暴露敏感的客戶資料。
透過 Shopify 外掛程式發現的其他資料外洩事件包括 The Tribe Concepts、Mesmerize India、Snitch、Bliss Club、By Invite Only 和 Binky Boo,它們都存在大量資料外洩。其中一些公司擁有完全可存取的付款資訊。
每家公司都被要求進一步發表評論,但他們尚未做出回應。
研究人員指出,這個問題並不是使用最新技術的老練駭客造成的,而是由未能滿足基本網路安全標準的公司造成的。即使是基本的加密軟體也可以在洩露的情況下保護客戶數據,而簡單且易於訪問的解決方案(例如 256 位元 AES 加密)以前從未被破解過。
