陈阳 栏目: 其他 3年前
简介:Shopify在数据保护这块还得多上点心才行。
近日,Shopify合作应用Topdser被曝正在泄露客户的隐私数据,包括用户的信用卡数据和个人详细信息,数千名购物者受影响。
据悉,数据泄露的根源尚不能100%确定下来,但是有相当多地证据表明Topdser是造成了此次信息泄露的原因。数据中嵌入的链接指向了Topdser的网站,而其他公司无法获得访问或创建这些链接的权限。
Topdser是Shopify的合作应用程序,可支持Shopify卖家从AliExpress和1688导入商品并一键发布到Shopify商店中,降低成本的同时获得3倍的运输速度;以及自动化批量订购,Shopify卖家可以在几秒之内利用AliExpress的官方接口无缝下单,最高可达300个订单,订单与订单之间无需等待。
(Topdser在Shopify应用商店的展示页面)
近1.7万Shopify卖家受影响
研究人员指出,有超过1.7万家Shopify商店的10万笔购买数据遭到泄露,暴露的数据总量高达13GB,而在Shodan搜索引擎上的数据总量也才95GB多一点。
与此同时,研究人员指出,刚发现的时候泄露的信息记录为1750万份,然而Shodan透露总共有2300万份记录被泄露,这意味着此次数据泄露可能影响了大约8万至10万名消费者。
VPNMentor分享出来的截图显示泄露的数据包括订单详细信息、信用卡和PII(个人身份信息)数据。
据hackread网站,VPNMentor早在2020年11月21日便发现了Shopify存在数据泄露的问题,并立即通知了Shopify,但Shopify并未对此事负责。
Topdser也接到了同样的提醒,VPNMentor建议其关闭漏洞并采取措施保护被暴露的数据。
涉事数据库已在2020年11月24日关闭,但这两家公司均为对此事做出回应或发布正式声明。而数据泄露可能会带来窃取或欺诈的隐患。
Shopify数据泄露事件时有发生
不久前Shopify还被曝出其安全漏洞泄露了加密货币硬件钱包提供商Ledger的用户信息,预计将使20000名分类账客户面临风险。
由于用户全名、家庭住址和电子邮件遭泄露,一些用户遭遇了不法分子的网络钓鱼,甚至有人报告了涉及死亡威胁的勒索案件。
此外,2020年9月22日,Shopify被曝出其两名员工窃取了大约200名商家的交易记录,但涉事员工在去年4月和6月就已经将数据泄露了出去,其中也包括Ledger客户的信息。
据悉,Shopify正与美国联邦调查局和其他国际执法机构合作调查这起事件,Ledger也已向法国数据保护机构报告了Shopify事件,并及时告知了涉及隐私泄露的用户事件进展。
看来以后Shopify还得在保护用户隐私上面多上点心,加强网络安全建设,避免此类事件的再次发生。