Ayoub Fathi, en sikkerhed forsker har afdækket en farlig Shopify API sårbarhed, der gør det muligt for kriminelle at kapre en masse følsomme oplysninger fra onlinebutikker. Problemet synes at ligge i API anvendes af systemet, der er udformet til at behandle data for graf præsentationer. Men ved nærmere analyse fremgår det, at det kan lække oplysninger.
Shopify API Sårbarhed Utætheder data
Den Shopify API, der bruges af mange online-handlende i verden har vist sig at indeholde en farlig sårbarhed. Problemet ligger ikke inden for de vigtigste modul, men af sektionen, der er ansvarlig for grafen præsentationer. Opdagelsen blev annonceret af sikkerhed forsker Ayoub Fathi der bogført om dette i hans blog vært på Medium. Hvad er farligt om denne særlige fejl er, at det har vist sig at lække indtjeningsdata i to tilfælde hidtil. En af dem er siden blevet fjernet fra platformen.
For at vise, hvordan det virker han oprettet en ny butik for at teste, om API endepunkt kan blive angrebet. Han derefter testet ud et script vurdering af levende butikker, som har vist, at 4 ud af 1000 butikker blev fundet utæt. Dette eksperiment blev derefter gentaget ved hjælp af en større liste, som bekræfter, at en masse af butikker er påvirket. Resultaterne af denne anden runde viser, at af 800,000 butikker mere end 12,100 blev udsat. Resultaterne blev rapporteret til selskabet på en hurtig måde, og sårbarheden blev lappet rettidigt dog allerede lækket data ikke kunne have været vendt.
Tjenesten har ikke tildelt en bug bounty betaling til forskeren, som han har fået adgang oplysninger af web købmænd og har ikke rapporteret sårbarheden til Shopify. På dette tidspunkt er der ingen oplysninger om vellykkede hacking forsøg, hvilket betyder, at både forskeren og virksomheden var hurtige til at afbøde problemet.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: