Ayoub Fathi, un chercheur en sécurité a découvert une vulnérabilité API Shopify dangereuse qui permet aux criminels de détourner un grand nombre d'informations sensibles des magasins en ligne. Le problème semble se situer dans l'API utilisée par le système qui est conçu pour traiter les données pour les présentations graphiques. Cependant sur une analyse plus approfondie, il semble qu'il peut fuir l'information.
Shopify API vulnérabilité fuites de données
L'API Shopify qui est utilisé par de nombreux marchands en ligne dans le monde a été trouvé pour contenir une vulnérabilité dangereuse. Le problème ne réside pas dans le module principal, mais la section qui est responsable des présentations graphiques. La découverte a été annoncée par le chercheur en sécurité Ayoub Fathi qui a posté à ce sujet dans son blog organisé à moyen. Ce qui est dangereux dans ce bogue particulier est qu'il a été trouvé fuite des données de revenus dans deux cas jusqu'à présent. L'un d'eux a depuis été retiré de la plate-forme.
Pour montrer comment cela fonctionne, il a mis en place un nouveau magasin afin de vérifier si oui ou non le point final de l'API peut être attaqué. Il a ensuite testé une évaluation de script de magasins en direct qui a montré que 4 de 1000 les magasins ont été trouvés fuite. Cette expérience a ensuite été répétée en utilisant une plus grande liste qui confirme que beaucoup de magasins sont touchés. Les résultats de ce deuxième tour montrent que des 800,000 les magasins de plus de 12,100 ont été exposés. Les résultats ont été rapportés à l'entreprise d'une manière rapide et la vulnérabilité a été patchés en temps voulu cependant déjà des données ne pouvaient pas divulgués ont été inversés.
Le service n'a pas reçu un paiement de primes bug au chercheur comme il a accédé à des informations des marchands web et n'a pas signalé la vulnérabilité à Shopify. En ce moment, il n'y a pas d'information disponible sur les tentatives de piratage avec succès ce qui signifie que tant le chercheur et la société ont été prompts à atténuer le problème.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: