Ayoub Fathi, een security-onderzoeker heeft een gevaarlijke Shopify API kwetsbaarheid waarmee criminelen veel gevoelige informatie van online winkels kapen blootgelegd. Het probleem lijkt te liggen in de API voor het systeem dat is ontworpen om gegevens te verwerken grafiek presentaties. Maar bij nadere analyse blijkt dat het informatie kunnen lekken.
Shopify API Vulnerability lekken van gegevens
De Shopify API die wordt gebruikt door veel online handelaren in de wereld is gevonden om een gevaarlijke kwetsbaarheid te bevatten. Het probleem ligt niet binnen de belangrijkste module, maar door de afdeling die verantwoordelijk is voor de grafiek presentaties. De ontdekking werd aangekondigd door security-onderzoeker Ayoub Fathi die over deze geplaatst in zijn blog gehost op Medium. Wat is gevaarlijk over deze bijzondere bug is dat het is gebleken dat lekken omzetgegevens in twee instanties tot nu toe. Een van hen is inmiddels verwijderd uit het platform.
Om aan te tonen hoe dit werkt richtte hij een nieuwe winkel in om te testen of de API eindpunt kan worden aangevallen. Hij testte een script beoordeling van de live-winkels die heeft aangetoond dat 4 uit 1000 winkels werden gevonden lekken. Dit experiment werd vervolgens herhaald met een grotere lijst, die bevestigt dat veel winkels zijn getroffen. De resultaten van deze tweede blijkt dat van 800,000 winkels meer dan 12,100 werden blootgesteld. De bevindingen werden gerapporteerd aan het bedrijf op een snelle manier en de kwetsbaarheid werd gepatcht tijdig echter reeds gelekte gegevens niet konden worden teruggedraaid.
De service is niet bekroond met een bug bounty betaling aan de onderzoeker als hij informatie van webwinkeliers heeft benaderd en heeft niet gemeld aan de kwetsbaarheid voor Shopify. Op dit moment is er geen informatie beschikbaar is over succesvolle hackpogingen, wat betekent dat zowel de onderzoeker en het bedrijf waren er snel bij om het probleem te verzachten.