3月29日消息,報道稱��,Cybernews研究團(tuán)隊于今年2月發(fā)現(xiàn)了一個可公開訪問的MongoDB數(shù)據(jù)庫,該數(shù)據(jù)庫屬于一家美國公司Saara����,該公司正在開發(fā)Shopify插件�。Saara工作人員將大量毫無戒心的購物者的敏感數(shù)據(jù)暴露給了威脅行為者,數(shù)百萬訂單被泄露����。
據(jù)網(wǎng)經(jīng)社跨境電商臺(CBEC.100EC.CN)獲悉����,目前確認(rèn)受Saara泄漏影響的插件包括:Eco Return�,用于AI驅(qū)動的退貨;WyseMe,獲取頂級購物者���。Saara制作的其他插件包括:Eco Shipping����,折扣運費;SalesGPT�����,和Al電子商務(wù)聊天機器人���。
泄露的數(shù)據(jù)包括客戶名稱����、電子郵件地址��、電話號碼、地址����、訂購物品的信息����、訂單跟蹤號碼和鏈接����、IP地址�、用戶代理�����、部分付款信息�。泄露的數(shù)據(jù)庫存儲了25GB的數(shù)據(jù)�����,這些數(shù)據(jù)是由使用該公司插件的1800多家Shopify商店的插件收集的。它擁有760多萬份個人訂單的數(shù)據(jù)���,包括敏感的客戶數(shù)據(jù)����。同一端點還有一個公共API�,可以用來代替公開的數(shù)據(jù)庫。
這些數(shù)據(jù)被搶注了8個月���,很可能被威脅行為者獲取�����。該數(shù)據(jù)庫中有一封勒索信����,要求支付0.01比特幣(約合640美元),否則數(shù)據(jù)將被公開�。網(wǎng)絡(luò)安全專家警告說,安全性差的數(shù)據(jù)庫和服務(wù)器正成為勒索軟件機器人的目標(biāo)���,這些機器人可以清除數(shù)據(jù)。最有可能的是���,Saara沒有注意到這張紙條����,因為數(shù)據(jù)庫仍然是打開的���。
對此���,Saara創(chuàng)始人兼首席執(zhí)行官Sachin Garg表示�����,在收到這一披露后���,公司團(tuán)隊“立即封鎖了對數(shù)據(jù)庫的訪問”�����。然而���,這位首席執(zhí)行官聲稱,該數(shù)據(jù)庫有密碼保護(hù),不包含“任何敏感信息”。截至目前,Shopify尚未回應(yīng)。
京公網(wǎng)安備 11010502041587號