Shopify插件疑似泄露近2000家商店數(shù)據(jù)

3月27日消息，報(bào)道稱，Cybernews研究團(tuán)隊(duì)于今年2月發(fā)現(xiàn)了一個(gè)可公開(kāi)訪問(wèn)的MongoDB數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)屬于一家美國(guó)公司Saara，該公司正在開(kāi)發(fā)Shopify插件。Saara工作人員將大量毫無(wú)戒心的購(gòu)物者的敏感數(shù)據(jù)暴露給了威脅行為者，數(shù)百萬(wàn)訂單被泄露。

據(jù)了解，目前確認(rèn)受Saara泄漏影響的插件包括：Eco Return，用于AI驅(qū)動(dòng)的退貨；WyseMe，獲取頂級(jí)購(gòu)物者。Saara制作的其他插件包括：Eco Shipping，折扣運(yùn)費(fèi)；SalesGPT，和Al電子商務(wù)聊天機(jī)器人。

Shopify插件泄露近2000家商店數(shù)據(jù) 圖源：Cybernews

泄露的數(shù)據(jù)包括客戶名稱、電子郵件地址、電話號(hào)碼、地址、訂購(gòu)物品的信息、訂單跟蹤號(hào)碼和鏈接、IP地址、用戶代理、部分付款信息。

泄露的數(shù)據(jù)庫(kù)存儲(chǔ)了25GB的數(shù)據(jù)，這些數(shù)據(jù)是由使用該公司插件的1800多家Shopify商店的插件收集的。它擁有760多萬(wàn)份個(gè)人訂單的數(shù)據(jù)，包括敏感的客戶數(shù)據(jù)。同一端點(diǎn)還有一個(gè)公共API，可以用來(lái)代替公開(kāi)的數(shù)據(jù)庫(kù)。

訂單分析條目顯示訂購(gòu)項(xiàng)目、電子郵件地址 圖源：Cybernews

這些數(shù)據(jù)被搶注了8個(gè)月，很可能被威脅行為者獲取。該數(shù)據(jù)庫(kù)中有一封勒索信，要求支付0.01比特幣(約合640美元)，否則數(shù)據(jù)將被公開(kāi)。網(wǎng)絡(luò)安全專家警告說(shuō)，安全性差的數(shù)據(jù)庫(kù)和服務(wù)器正成為勒索軟件機(jī)器人的目標(biāo)，這些機(jī)器人可以清除數(shù)據(jù)。最有可能的是，Saara沒(méi)有注意到這張紙條，因?yàn)閿?shù)據(jù)庫(kù)仍然是打開(kāi)的。

對(duì)此，Saara創(chuàng)始人兼首席執(zhí)行官Sachin Garg表示，在收到這一披露后，公司團(tuán)隊(duì)“立即封鎖了對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)”。然而，這位首席執(zhí)行官聲稱，該數(shù)據(jù)庫(kù)有密碼保護(hù)，不包含“任何敏感信息”。截至目前，Shopify尚未回應(yīng)。