在移动应用安全搜索引擎 BeVigil 周五发布的一份报告中发现,由于硬编码的 Shopify 秘钥给全球超过 400
万电子商务应用的用户带来了风险。
作为一个电子商务平台,Shopify 允许任何人创建商店,这样可以使他们能够在网上销售他们的产品,也允许企业这样做。并且预计到 2023 年底,Shopify 将被超过 440 万个网站使用,它们分布在 175 个以上的国家。
研究人员称,攻击者有可能通过电子商务应用程序获取数百万安卓用户的敏感数据。
最近,CloudSEK BeVigil 的一份报告显示,研究人员发现了 21 个电子商务应用程序中有 22 个硬编码的 Shopify API 密钥,这些密钥很可能会泄露大约 400 万用户的个人身份信息(PII),并且有可能会导致身份被盗。
API 密钥一旦在代码中被硬编码,任何能够查看该代码的人,包括攻击者和未经授权的用户,都会看到该密钥。攻击者如果能够访问硬编码的密钥,那么就可以访问敏感数据。然后他们可以用它来窃取用户的商业数据。该公司在一份新闻稿中说,即使他们没有得到授权,他们仍然可以这样做。
关于信用卡的信息
研究人员说,基于他们在报告中进一步研究得出结论,22 个硬编码密钥中至少有 18 个允许攻击者使用它们来查看客户的敏感数据。研究人员提供的第二份报告指出,有七个 API 密钥使得用户能够查看和修改礼品卡。此外,有六个 API 密钥允许威胁者窃取支付账户的相关信息。
程序收集大量的敏感数据,包括姓名、电子邮件地址、网站地址、国家、地址信息、电话号码和其他与店主有关的信息。该网站还使客户能够访问有关他们过去的订单和他们接收电子邮件的相关偏好信息。
关于支付账户的信息,威胁者可能会获取有关银行交易的细节,如客户用来购物的信用卡或借记卡。这些可以通过获取信用卡的 BIN 号码、卡的尾号、发卡公司的名称、浏览器的 IP 地址、卡上的名字、到期日期和其他敏感信息来获得。
据研究人员称,该商店使用的一个被泄露的 API 密钥提供了商店的认证细节。
研究人员还指出,这不是 Shopify 员工的错误,而是应用开发者向第三方泄露 API 密钥和令牌普遍出现的问题。
像 Shopify 这样的电子商务平台使各种规模的企业都能够轻松地创建一个网上商店,进而在网上销售他们的产品。据估计,目前有超过 400 万个网站与 Shopify 进行了集成,这使得网上购物者能够进行在线支付。
CloudSEK 将他们的发现已经通知给了 Shopify,但是,目前还没有收到 Shopify 的相关的回应。
推荐阅读:
