La popolare app Shopify espone i dati privati di migliaia di acquirenti

 

Buongiorno cari lettori, oggi parleremo di un bug in shopify.

L'app in duscissione è Shopify dropshipping app chiamata Topdser che è anche l'app dropshipping partner ufficiale di AliExpress.

Un'app Shopify mainstream stava perdendo dati sensibili e, di conseguenza, migliaia di clienti sono stati colpiti. L'app ha esposto i dati privati dei clienti Shopify, compresi i dati della carta di credito e i dettagli personali.

Le origini della fuga di notizie non sono chiare

I ricercatori di VPNMentor che hanno identificato i dati non sono sicuri al 100% dell'effettivo punto di origine della fuga di dati. Tuttavia, secondo le prove che hanno trovato, l'app di dropshipping Shopify Topdser ha causato la perdita.

Topdser è abbastanza simile all'app Oberlo che collega i siti Shopify con AliExpress e automatizza altri processi aziendali.

"In questo caso, non potevamo concludere con il 100% di certezza che Topdser fosse responsabile della fuga di dati, anche se ci sono notevoli prove che suggeriscono che lo fosse", ha detto il post sul blog di vpnMentor condiviso con Hackread.com

I link incorporati nei dati sono stati diretti al sito web di Topdser come nessun'altra azienda può ottenere l'accesso o le autorizzazioni necessarie per crearli.

Migliaia di acquirenti colpiti

I ricercatori affermano che oltre 100.000 dati di acquisto sono stati compromessi da più di 17.000 negozi Shopify. Inoltre, i ricercatori hanno rivelato che i dati esposti erano circa 13GB al momento della scoperta, ma su Shodan, la dimensione totale dei dati era di 95+ GB.

Allo stesso modo, al momento della scoperta, i ricercatori hanno notato che il numero di record trapelati era di 17,5 milioni; tuttavia, Shodan ha rivelato che 23 milioni di record sono stati compromessi in totale. Questo significa che la perdita di dati potrebbe aver avuto un impatto su circa 80.000-100.000 clienti.

Shopify è stato notificato

Il team di VPNMentor ha scoperto la fuga di dati il 21 novembre 2020 e ha immediatamente notificato Shopify poiché i dati esposti appartenevano a Shopify. Tuttavia, vale la pena notare che l'azienda non è responsabile della perdita.

Il team di ricerca ha anche contattato Topdser lo stesso giorno per chiudere la vulnerabilità e proteggere i dati esposti. Il database è stato messo offline il 24 novembre 2020, ma nessuna delle aziende ha risposto o rilasciato una dichiarazione ufficiale.

Questo è un problema serio poiché i dati esposti possono essere utilizzati per rubare o frodare migliaia di acquirenti Shopify in tutto il mondo.

spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.