Ayoub Fathi, un investigador de seguridad ha descubierto una vulnerabilidad peligrosa API Shopify que permite a los criminales secuestran a una gran cantidad de información sensible de las tiendas en línea. El problema parece radicar en el API utilizado por el sistema que está diseñado para procesar los datos para las presentaciones de gráficos. Sin embargo al análisis adicional, parece que se puede filtrar información.
Shopify vulnerabilidad API de fugas de datos
La API de Shopify que es utilizado por muchos comerciantes en línea en el mundo se ha encontrado que contienen una vulnerabilidad peligrosa. El problema no se encuentra dentro del módulo principal, sino por la sección que se encarga de las presentaciones de gráficos. El descubrimiento fue anunciado por el investigador de seguridad Ayoub Fathi que ha publicado sobre este tema en su blog alojado en Medio. Lo que es peligroso de este error en particular es que se ha encontrado para fugas de datos de ingresos en dos casos hasta el momento. Uno de ellos ya se ha eliminado de la plataforma.
Para demostrar cómo funciona esto creó una nueva tienda con el fin de probar si o no el punto final de la API puede ser atacado. Luego probó a cabo una evaluación de la escritura de tiendas en vivo que se ha demostrado que 4 de 1000 tiendas se encontraron fugas. Este experimento se repite usando continuación una lista más grande que confirma que una gran cantidad de tiendas se ven afectados. Los resultados de esta segunda ronda muestran que de 800,000 tiendas más que 12,100 fueron expuestos. Los hallazgos fueron reportados a la empresa de una manera rápida y la vulnerabilidad era conectaron a su debido tiempo, sin embargo los datos ya filtrados no podrían haber sido a la inversa.
El servicio no ha otorgado un pago de recompensas de errores para el investigador ya ha accedido a información de los comerciantes de Internet y no se ha informado de la vulnerabilidad a Shopify. Por el momento no hay información disponible acerca de los intentos de hacking éxito que significa que tanto el investigador y la compañía fueron rápidos para mitigar el problema.