טיילר קרוס
לשערה, חברה המפתחת תוספי Shopify, לא זוהתה דליפת נתונים קריטית במשך יותר משמונה חודשים.
על פי החוקרים שמצאו את הנתונים, סביר מאוד שהאקרים ניגשו לדליפת הנתונים הזו לפחות פעם אחת, שכן הם מצאו שטר כופר בין הנתונים שדרשו כ-640 דולר בביטקוין.
הדליפה הכוללת הכילה יותר מ-25 GB של נתונים המאוחסנים במסד הנתונים MongoDB של שערה שהיה נגיש לציבור במשך יותר משמונה חודשים. הנתונים הלא מוצפנים הכילו יותר מ-7.6 מיליון הזמנות בודדות וכן נתונים אישיים על לקוחות.
כל אחד היה חופשי להסתכל על כתובות האימייל של הלקוחות, השמות המלאים, מספרי הטלפון, כתובות ה-IP, כתובות הבית, פרטי מעקב אחר הזמנות והזמנות ופרטי תשלום חלקיים.
לאחר שהבינו כי ככל הנראה שערה לא הייתה מודעת להפרה, חוקרי סייברניוז פנו למנכ"ל, הודיעו להם על ההפרה וביקשו תגובה נוספת. בעוד שהחברה סגרה מיד את ההפרה, המנכ"ל טען כי ההדלפה לא מכילה כל נתוני לקוחות רגישים.
ההדלפה מדגישה בעיה מרכזית העומדת בבסיס נוהלי אבטחת הסייבר של Shopify. סריקות האבטחה שלה לרוב לא מצליחות לזהות פגמים בתשתית לא מאובטחת, מה שמוביל שפע של חברות כמו שארה לחשוף נתוני לקוחות רגישים.
דליפות נתונים נוספות שנמצאו דרך התוספים של Shopify כוללות את The Tribe Concepts, Mesmerize India, Snitch, Bliss Club, By Invite Only ו- Binky Boo שהיו להם דליפות נתונים גדולות. לחלק מהחברות הללו היה מידע תשלום נגיש לחלוטין.
כל אחת מהחברות התבקשה להגיב, אך הן טרם הגיבו.
חוקרים מציינים כי בעיה זו אינה נגרמת על ידי האקרים מתוחכמים המשתמשים בטכנולוגיה העדכנית ביותר, אלא על ידי חברות שלא עומדות בתקני אבטחת סייבר בסיסיים. אפילו תוכנת הצפנה בסיסית הייתה שומרת על נתוני לקוחות במקרה של דליפה, כאשר פתרונות פשוטים ונגישים כמו הצפנת AES של 256 סיביות מעולם לא נפצחו קודם לכן.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.safetydetectives.com/news/25gb-of-shopify-data-found-leaked/
- 25
- 28
- 40
- 6
- 7
- a
- נצפה
- נגיש
- כתובות
- AES
- בין היתר
- ו
- כל
- AS
- שאל
- לשאול
- At
- גִלגוּל
- בסיסי
- היה
- לפני
- להיות
- ביטקוין
- BOO
- הפרה
- אבל
- by
- מקרה
- גרם
- מנכ"ל
- נתבע
- סגור
- מועדון
- הערה
- חברות
- חברה
- מושגים
- להכיל
- הכלול
- סדוק
- קריטי
- לַחֲצוֹת
- לקוח
- נתוני לקוחות
- לקוחות
- חדשות הסייבר
- אבטחת סייבר
- נתונים
- דליפת נתונים
- מסד נתונים
- תובעני
- פרטים
- לאתר
- מפתחת
- שמונה
- אמייל
- הצף
- אֲפִילוּ
- לחשוף
- FAIL
- אי
- פגמים
- בעד
- מצא
- חופשי
- מלא
- לגמרי
- נוסף
- Go
- האקרים
- היה
- יש
- יש
- פסים
- מאוד
- עמוד הבית
- HTTPS
- מיד
- in
- לכלול
- הודו
- בנפרד
- מידע
- תשתית
- להזמין
- IP
- כתובות IP
- סוגיה
- שֶׁלָה
- גָדוֹל
- האחרון
- מוביל
- לדלוף
- דליפות
- הכי פחות
- כמו
- סביר
- נראה
- גדול
- לִפְגוֹשׁ
- מִילִיוֹן
- MongoDB
- חודשים
- יותר
- רוב
- המון
- שמות
- לעולם לא
- הערות
- מספרים
- of
- לעתים קרובות
- on
- פעם
- רק
- להזמין
- הזמנות
- הַחוּצָה
- יותר
- חלקית
- תשלום
- אישי
- מידע אישי
- טלפון
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- תוספים
- נקודה
- פרקטיקות
- בעיה
- בפומבי
- כופר
- במקום
- מימוש
- חוקרים
- להגיב
- בערך
- מוגן
- סריקות
- אבטחה
- רגיש
- Shopify
- פָּשׁוּט
- תוכנה
- פתרונות
- כמה
- מתוחכם
- תקנים
- מאוחסן
- טכנולוגיה
- מֵאֲשֶׁר
- זֶה
- השמיים
- אותם
- אלה
- הֵם
- זֶה
- דרך
- ל
- סה"כ
- מעקב
- שבט
- טיילר
- לא מודע
- בְּסִיסִי
- לא מזוהה
- לא מאובטח
- באמצעות
- היה
- webp
- טוֹב
- אשר
- בזמן
- מי
- עם
- היה
- עוד
- זפירנט