这家电子商务巨头的插件开发人员将毫无戒心的购物者的大量敏感数据暴露给威胁行为者,导致数百万订单被泄露。
2 月 21 日,Cybernews 研究团队发现了一个可公开访问的 MongoDB 数据库,该数据库属于一家开发 Shopify 插件的美国公司 Saara。该公司将其插件描述为“人工智能/机器学习驱动的电子商务技术套件”。
已确认受泄漏影响的插件:
- EcoReturns:用于人工智能驱动的退货
- WyseMe:吸引顶级购物者
Saara 制作的其他插件:
- EcoShip:用于折扣运输
- SalesGPT:和人工智能电子商务聊天机器人
泄露的数据库存储了25GB的数据。这些数据是通过使用该公司插件的 1,800 多家 Shopify 商店的插件收集的。它保存着超过 760 万个个人订单的数据,包括敏感的客户数据。同一端点还有一个公共 API,可以用来代替公开的数据库。
这些数据保留了八个月,很可能被威胁行为者获取。该数据库包含一张勒索信,要求支付 0.01 比特币(约 640 美元),否则数据将被公开发布。
网络安全专家警告说,安全性较差的数据库和服务器正成为勒索软件机器人的目标,这些机器人可以清除数据。萨拉很可能没有注意到这条注释,因为数据库仍然开放。
泄露的数据包括:
- 客户姓名
- 电子邮件地址
- 电话号码
- 地址
- 有关订购商品的信息
- 订单追踪号码和链接
- IP地址
- 用户代理
- 部分付款信息
Cybernews 联系了该公司,数据库的访问权限已得到保护。Saara 的创始人兼首席执行官 Sachin Garg 告诉 Cybernews,在收到披露信息后,该公司团队“立即阻止了对数据库的访问”。
然而,首席执行官声称该数据库受密码保护,并且不包含“任何敏感信息”。
谨慎使用第三方服务
这次泄露就是一个鲜明的例子,每当您在线提交个人数据时,您永远无法确定它是否会得到安全处理。它还提醒电子商务商店的开发人员审核他们添加到商店的任何第三方插件,因为这些插件可能会带来严重的安全、隐私、法律和财务风险。
- Snitch
- Bliss Club
- Steve Madden
- The Tribe Concepts
- Mesmerize India
- Scoboo.in
- By Invite Only
- Baesic World
- Fitville
- OneOne Swimwear
- Binky Bro
- Off Duty India
这次泄露还强调了数据匿名化的重要性。这些插件几乎收集了用户在网站上输入的所有信息,包括姓名、地址、订单和付款信息等敏感详细信息。
数据加密或匿名化可以保留服务功能,同时最大限度地减少个人数据的收集,从而降低潜在数据泄漏的严重性。
虽然 Shopify 声称会审核插件的安全问题,但他们的测试似乎不包括评估不安全的基础设施,从而导致私人和敏感的客户数据容易受到攻击。
Cybernews 联系了受影响的商店和 Shopify 以征求意见,但尚未收到回复。
发表评论
您还未登录,请先登录。
登录