Ayoub Fathi, um pesquisador de segurança descobriu uma vulnerabilidade API Shopify perigoso que permite que os criminosos para roubar um monte de informações sensíveis a partir de lojas on-line. O problema parece estar na API utilizada pelo sistema que é desenhado para processar os dados para apresentações gráfico. No entanto após uma análise mais aprofundada, parece que ele pode vazar informações.
Vulnerabilidade API Shopify vazamentos de dados
A API Shopify que é usado por muitos comerciantes online do mundo foi encontrado para conter uma vulnerabilidade perigosa. O problema não está dentro do módulo principal, mas a seção que é responsável pelas apresentações gráfico. A descoberta foi anunciada pelo pesquisador de segurança Ayoub Fathi que postou sobre isso em seu blog hospedado no Médio. O que é perigoso sobre esse bug particular é que ele foi encontrado para vazar dados de receita em dois casos até agora. Um deles já foi removido da plataforma.
Para demonstrar como isso funciona, ele criou uma nova loja, a fim de testar se ou não o ponto final API pode ser atacado. Ele então testado a uma avaliação roteiro de lojas vivos que mostrou que 4 fora de 1000 lojas foram encontrados vazando. Este experimento foi então repetido usando uma lista maior que confirma que um monte de lojas são afetados. Os resultados deste segundo show rodada que de 800,000 lojas de mais de 12,100 foram expostos. As descobertas foram comunicadas à sociedade de uma forma rápida e a vulnerabilidade foi corrigida em devido tempo, no entanto, os dados já vazaram não poderia ter sido revertida.
O serviço não concedeu um pagamento bug recompensa para o pesquisador como ele tem acedido a informações de comerciantes da web e não relatou a vulnerabilidade Shopify. Neste momento não há informações disponíveis sobre as tentativas de hackers de sucesso que significa que tanto o pesquisador ea empresa foram rápidos para mitigar o problema.