Ayoub Fathi, セキュリティ研究者が、犯罪者がオンラインストアから多くの機密情報を乗っ取ることができる危険なShopifyAPIの脆弱性を発見しました. 問題は、グラフ表示用のデータを処理するように設計されたシステムで使用されるAPIにあるようです。. しかし、さらに分析すると、情報が漏洩する可能性があるようです。.
ShopifyAPIの脆弱性リークデータ
世界中の多くのオンラインマーチャントによって使用されているShopifyAPIには、危険な脆弱性が含まれていることが判明しています. 問題はメインモジュール内にありません, しかし、グラフのプレゼンテーションを担当するセクションによって. この発見は、これについて投稿したセキュリティ研究者のAyoubFathiによって発表されました。 彼のブログ Mediumでホスト. この特定のバグについて危険なのは、 これまでの2つのインスタンスで収益データをリーク. その後、そのうちの1つがプラットフォームから削除されました.
これがどのように機能するかを示すために、彼はAPIエンドポイントが攻撃される可能性があるかどうかをテストするために新しいストアをセットアップしました. 次に、ライブストアのスクリプト評価をテストしました。 4 から 1000 店が漏れているのが見つかりました. その後、この実験は、多くの店舗が影響を受けていることを確認するより大きなリストを使用して繰り返されました. この第2ラウンドの結果は、 800,000 以上を格納します 12,100 露出された. 調査結果は迅速に会社に報告され、脆弱性はやがて修正されましたが、すでに漏洩したデータを元に戻すことはできませんでした.
研究者がWebマーチャントの情報にアクセスし、Shopifyに脆弱性を報告していないため、このサービスは研究者に脆弱性報奨金を授与していません。. 現時点では、ハッキングの試みの成功について入手できる情報はありません。これは、研究者と会社の両方が問題を迅速に軽減したことを意味します。.