Casa > Cyber ​​Notizie > La vulnerabilità dell'API di Shopify aiuta gli hacker a ottenere dati sensibili sul Web Store
CYBER NEWS

Shopify vulnerabilità API consente agli hacker di guadagno sensibili Web Data Store

Ayoub Fathi, un ricercatore di sicurezza ha scoperto una vulnerabilità API Shopify pericolosa che permette ai criminali di dirottare un sacco di informazioni sensibili da negozi online. Il problema sembra risiedere nella API utilizzata dal sistema che è progettato per elaborare i dati per le presentazioni grafico. Tuttavia su di ulteriori analisi sembra che possa trapelare informazioni.




Shopify vulnerabilità API fughe di dati

L'API Shopify che è usato da molti commercianti online in tutto il mondo è stato trovato per contenere una pericolosa vulnerabilità. Il problema non si trova all'interno del modulo principale, ma dalla sezione che è responsabile per le presentazioni grafico. La scoperta è stata annunciata dal ricercatore di sicurezza Ayoub Fathi che ha postato su questo in il suo blog ospitato presso Media. Cosa c'è di pericoloso in questo particolare bug è che è stato trovato per perdita dati sulle entrate in due casi finora. Uno di loro è stato dato rimosso dalla piattaforma.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/cve-2019-3568-whatsapp-pegasus/”]CVE-2019-3568 in WhatsApp sfruttate utilizzando le Pegasus Spyware

Per dimostrare come funziona ha istituito un nuovo negozio al fine di verificare se l'endpoint API può essere attaccato. Egli ha poi testato una valutazione sceneggiatura di negozi dal vivo che ha dimostrato che 4 su 1000 i negozi sono stati trovati che perde. Questo esperimento è stato poi ripetuto utilizzando un elenco più ampio, che conferma che un sacco di negozi sono colpiti. I risultati di questa seconda fase di mostrano che 800,000 Contiene oltre 12,100 sono stati esposti. I risultati sono stati riportati alla società in maniera rapida e la vulnerabilità è stata patch in tempo utile però dati già trapelato non avrebbero potuto essere invertita.

Il servizio non ha assegnato un pagamento bug bounty al ricercatore come ha accesso a informazioni di mercanti web e non ha riferito la vulnerabilità a Shopify. In questo momento non ci sono informazioni disponibili circa i tentativi di hacking di successo che significa che sia il ricercatore e la società si sono affrettati a mitigare il problema.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo