Τάιλερ Κρος
Δημοσιεύθηκε στις: Μαρτίου 28, 2024
Η Shaara, μια εταιρεία που αναπτύσσει προσθήκες Shopify, είχε μια κρίσιμη διαρροή δεδομένων που δεν ανιχνεύτηκε για περισσότερους από οκτώ μήνες.
Σύμφωνα με τους ερευνητές που βρήκαν τα δεδομένα, είναι πολύ πιθανό οι χάκερ να είχαν πρόσβαση σε αυτή τη διαρροή δεδομένων τουλάχιστον μία φορά, καθώς βρήκαν ένα σημείωμα λύτρων μεταξύ των δεδομένων που απαιτούσαν περίπου 640 δολάρια σε Bitcoin.
Η συνολική διαρροή περιείχε περισσότερα από 25 GB δεδομένων που ήταν αποθηκευμένα στη βάση δεδομένων MongoDB της Shaara, η οποία ήταν δημόσια προσβάσιμη για περισσότερους από οκτώ μήνες. Τα μη κρυπτογραφημένα δεδομένα περιείχαν περισσότερες από 7.6 εκατομμύρια μεμονωμένες παραγγελίες καθώς και προσωπικά δεδομένα πελατών.
Οποιοσδήποτε ήταν ελεύθερος να δει τις διευθύνσεις email των πελατών, τα πλήρη ονόματα, τους αριθμούς τηλεφώνου, τις διευθύνσεις IP, τις διευθύνσεις σπιτιού, τις πληροφορίες παρακολούθησης παραγγελιών και παραγγελιών και τα στοιχεία μερικής πληρωμής.
Αφού συνειδητοποίησαν ότι η Shaara πιθανότατα δεν γνώριζε την παραβίαση, οι ερευνητές του Cybernews επικοινώνησαν με τον Διευθύνοντα Σύμβουλο, ενημερώνοντάς τους για την παραβίαση και ζήτησαν περαιτέρω σχόλια. Ενώ η εταιρεία έκλεισε αμέσως την παραβίαση, ο Διευθύνων Σύμβουλος ισχυρίστηκε ότι η διαρροή δεν περιείχε ευαίσθητα δεδομένα πελατών.
Η διαρροή υπογραμμίζει ένα σημαντικό πρόβλημα που διέπει τις πρακτικές κυβερνοασφάλειας του Shopify. Οι σαρώσεις ασφαλείας του συχνά αποτυγχάνουν να εντοπίσουν ελαττώματα σε μη ασφαλή υποδομή, με αποτέλεσμα πολλές εταιρείες όπως η Shaara να εκθέσουν ευαίσθητα δεδομένα πελατών.
Άλλες διαρροές δεδομένων που βρέθηκαν μέσω των προσθηκών Shopify περιλαμβάνουν τα The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only και Binky Boo που είχαν μεγάλες διαρροές δεδομένων. Ορισμένες από αυτές τις εταιρείες είχαν πλήρως προσβάσιμες πληροφορίες πληρωμής.
Κάθε μία από τις εταιρείες κλήθηκε για περαιτέρω σχόλια, αλλά δεν έχουν ακόμη απαντήσει.
Οι ερευνητές επισημαίνουν ότι αυτό το ζήτημα δεν προκαλείται από εξελιγμένους χάκερ που χρησιμοποιούν την πιο πρόσφατη τεχνολογία, αλλά από εταιρείες που δεν πληρούν τα βασικά πρότυπα ασφάλειας στον κυβερνοχώρο. Ακόμη και το βασικό λογισμικό κρυπτογράφησης θα είχε διασφαλίσει τα δεδομένα των πελατών σε περίπτωση διαρροής, με απλές και προσβάσιμες λύσεις όπως η κρυπτογράφηση AES 256-bit να μην έχουν ποτέ σπάσει στο παρελθόν.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
- 25
- Κρυπτογράφηση AES 256-bit
- 28
- 40
- 7
- a
- πρόσβαση
- προσιτός
- διευθύνσεις
- AES
- μεταξύ των
- και
- κάθε
- AS
- ζητώντας
- At
- avatar
- βασικός
- ήταν
- πριν
- είναι
- Bitcoin
- ΓΙΟΥΧΑ
- παραβίαση
- αλλά
- by
- περίπτωση
- προκαλούνται
- Διευθύνων Σύμβουλος
- ισχυρίστηκε
- κλειστό
- λέσχη
- σχόλιο
- Εταιρείες
- εταίρα
- έννοιες
- περιέχουν
- που περιέχονται
- Ραγισμένο
- κρίσιμης
- Σταυρός
- πελάτης
- στοιχεία πελάτη
- Πελάτες
- cybernews
- Κυβερνασφάλεια
- ημερομηνία
- διαρροή δεδομένων
- βάση δεδομένων
- απαιτητικές
- καθέκαστα
- ανίχνευση
- αναπτύσσεται
- οκτώ
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- κρυπτογράφηση
- Even
- ΑΠΟΤΥΓΧΑΝΩ
- παραλείποντας
- ελαττώματα
- Για
- Βρέθηκαν
- Δωρεάν
- πλήρη
- πλήρως
- περαιτέρω
- Go
- χάκερ
- είχε
- Έχω
- που έχει
- ανταύγειες
- υψηλά
- Αρχική
- HTTPS
- αμέσως
- in
- περιλαμβάνουν
- Ινδία
- ατομικές
- πληροφορίες
- Υποδομή
- προσκαλούν
- IP
- Διευθύνσεις IP
- ζήτημα
- ΤΟΥ
- large
- αργότερο
- που οδηγεί
- διαρροή
- Διαρροές
- ελάχιστα
- Μου αρέσει
- Πιθανός
- ματιά
- μεγάλες
- Γνωρίστε
- εκατομμύριο
- MongoDB
- μήνες
- περισσότερο
- πλέον
- πλήθος
- ονόματα
- ποτέ
- σημείωση
- αριθμοί
- of
- συχνά
- on
- μια φορά
- αποκλειστικά
- τάξη
- παραγγελιών
- έξω
- επί
- πληρωμή
- προσωπικός
- προσωπικά δεδομένα
- τηλέφωνο
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Plugins
- Σημείο
- πρακτικές
- Πρόβλημα
- δημοσίως
- Λύτρα
- μάλλον
- συνειδητοποιώντας
- ερευνητές
- Απάντηση
- περίπου
- προστατεύεται
- σαρώσεις
- ασφάλεια
- ευαίσθητος
- shopify
- Απλούς
- λογισμικό
- Λύσεις
- μερικοί
- εξελιγμένα
- πρότυπα
- αποθηκεύονται
- Τεχνολογία
- από
- ότι
- Η
- Τους
- Αυτοί
- αυτοί
- αυτό
- Μέσω
- προς την
- Σύνολο
- Παρακολούθηση
- Φυλή
- Tyler
- απληροφόρητος
- υποκείμενες
- χωρίς ασφάλεια
- χρησιμοποιώντας
- ήταν
- webp
- ΛΟΙΠΌΝ
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- με
- θα
- ακόμη
- zephyrnet