Тайлер Кросс
Опубліковано: Березня 28, 2024
У компанії Shaara, яка розробляє плагіни Shopify, критичний витік даних залишався непоміченим понад вісім місяців.
На думку дослідників, які знайшли дані, цілком імовірно, що хакери мали доступ до цього витоку даних принаймні один раз, оскільки вони знайшли записку про викуп серед даних, вимагаючи приблизно 640 доларів США в біткойнах.
Загальний витік містив більше 25 ГБ даних, які зберігалися в базі даних MongoDB Шаари, яка була загальнодоступною більше восьми місяців. Незашифровані дані містили понад 7.6 мільйонів індивідуальних замовлень, а також персональні дані клієнтів.
Будь-хто міг вільно переглядати електронні адреси клієнтів, повні імена, номери телефонів, IP-адреси, домашні адреси, інформацію про замовлення та відстеження замовлень, а також деталі часткової оплати.
Зрозумівши, що Шаара, швидше за все, не знав про злам, дослідники Cybernews зв’язалися з генеральним директором, поінформувавши їх про злом і попросивши подальших коментарів. Хоча компанія негайно закрила злом, генеральний директор заявив, що витік не містить жодних конфіденційних даних клієнтів.
Витік підкреслює серйозну проблему, яка лежить в основі практики кібербезпеки Shopify. Його сканування безпеки часто не вдається виявити недоліки в незахищеній інфраструктурі, що змушує безліч компаній, як-от Shaara, розкривати конфіденційні дані клієнтів.
Інші витоки даних, виявлені через плагіни Shopify, включають The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only і Binky Boo, які мали великі витоки даних. Деякі з цих компаній мали повністю доступну платіжну інформацію.
Кожну з компаній попросили надати додаткові коментарі, але вони ще не відповіли.
Дослідники зазначають, що ця проблема спричинена не досвідченими хакерами, які використовують новітні технології, а скоріше компаніями, які не відповідають основним стандартам кібербезпеки. Навіть базове програмне забезпечення для шифрування могло б захистити дані клієнтів у разі витоку за допомогою простих і доступних рішень, таких як 256-бітне шифрування AES, яке ніколи раніше не було зламано.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/