Huis > Cyber ​​Nieuws > Shopify API-kwetsbaarheid helpt hackers om gevoelige webwinkelgegevens te verkrijgen
CYBER NEWS

Shopify API Vulnerability Helpt Hackers Gain Gevoelige Web Store Gegevens

Ayoub Fathi, een security-onderzoeker heeft een gevaarlijke Shopify API kwetsbaarheid waarmee criminelen veel gevoelige informatie van online winkels kapen blootgelegd. Het probleem lijkt te liggen in de API voor het systeem dat is ontworpen om gegevens te verwerken grafiek presentaties. Maar bij nadere analyse blijkt dat het informatie kunnen lekken.




Shopify API Vulnerability lekken van gegevens

De Shopify API die wordt gebruikt door veel online handelaren in de wereld is gevonden om een ​​gevaarlijke kwetsbaarheid te bevatten. Het probleem ligt niet binnen de belangrijkste module, maar door de afdeling die verantwoordelijk is voor de grafiek presentaties. De ontdekking werd aangekondigd door security-onderzoeker Ayoub Fathi die over deze geplaatst in zijn blog gehost op Medium. Wat is gevaarlijk over deze bijzondere bug is dat het is gebleken dat lekken omzetgegevens in twee instanties tot nu toe. Een van hen is inmiddels verwijderd uit het platform.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/cve-2019-3568-whatsapp-pegasus/”]CVE-2019-3568 in WhatsApp misbruikt via Pegasus Spyware

Om aan te tonen hoe dit werkt richtte hij een nieuwe winkel in om te testen of de API eindpunt kan worden aangevallen. Hij testte een script beoordeling van de live-winkels die heeft aangetoond dat 4 uit 1000 winkels werden gevonden lekken. Dit experiment werd vervolgens herhaald met een grotere lijst, die bevestigt dat veel winkels zijn getroffen. De resultaten van deze tweede blijkt dat van 800,000 winkels meer dan 12,100 werden blootgesteld. De bevindingen werden gerapporteerd aan het bedrijf op een snelle manier en de kwetsbaarheid werd gepatcht tijdig echter reeds gelekte gegevens niet konden worden teruggedraaid.

De service is niet bekroond met een bug bounty betaling aan de onderzoeker als hij informatie van webwinkeliers heeft benaderd en heeft niet gemeld aan de kwetsbaarheid voor Shopify. Op dit moment is er geen informatie beschikbaar is over succesvolle hackpogingen, wat betekent dat zowel de onderzoeker en het bedrijf waren er snel bij om het probleem te verzachten.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens