Tyler Cross
A Shaara, a Shopify beépülő modulokat fejlesztő cégnél több mint nyolc hónapig nem észleltek egy kritikus adatszivárgást.
Az adatokat megtaláló kutatók szerint nagy a valószínűsége annak, hogy hackerek legalább egyszer hozzáfértek ehhez az adatszivárgáshoz, mivel váltságdíjat találtak az adatok között, amelyekben nagyjából 640 dollár Bitcoint követeltek.
A teljes kiszivárgás több mint 25 GB adatot tartalmazott, amelyet Shaara MongoDB adatbázisában tároltak, amely több mint nyolc hónapig volt nyilvánosan hozzáférhető. A titkosítatlan adatok több mint 7.6 millió egyedi megrendelést, valamint az ügyfelek személyes adatait tartalmazták.
Bárki szabadon megnézhette az ügyfelek e-mail címét, teljes nevét, telefonszámát, IP-címét, lakcímét, rendelés- és rendeléskövetési adatait, valamint részleges fizetési adatait.
Miután rájöttek, hogy Shaara valószínűleg nem tudott a jogsértésről, a Cybernews kutatói felvették a kapcsolatot a vezérigazgatóval, tájékoztatták őket a jogsértésről, és további megjegyzéseket kértek. Míg a cég azonnal lezárta a jogsértést, a vezérigazgató azt állította, hogy a kiszivárogtatás nem tartalmazott érzékeny ügyféladatokat.
A kiszivárogtatás rávilágít a Shopify kiberbiztonsági gyakorlatának hátterében álló komoly problémára. Biztonsági vizsgálatai gyakran nem észlelik a nem biztonságos infrastruktúra hibáit, így a Shaarahoz hasonló vállalatok sokasága érzékeny ügyféladatokat tesz közzé.
A Shopify beépülő moduljain keresztül további adatszivárgások közé tartozik a The Tribe Concepts, a Mesmerize India, a Snitch, a Bliss Club, a By Invite Only és a Binky Boo, amelyek nagy adatszivárgást szenvedtek el. Néhány ilyen vállalat teljes mértékben hozzáférhető fizetési információval rendelkezett.
Mindegyik cégtől további megjegyzéseket kértek, de még nem válaszoltak.
A kutatók rámutatnak, hogy ezt a problémát nem a legújabb technológiát használó kifinomult hackerek okozzák, hanem az, hogy a vállalatok nem teljesítik az alapvető kiberbiztonsági szabványokat. Még az alapvető titkosítószoftverek is megvédték volna az ügyfelek adatait szivárgás esetén, olyan egyszerű és hozzáférhető megoldásokkal, mint a 256 bites AES titkosítás, amelyet korábban soha nem törtek fel.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
