首页 电商 正文

全球有超过 400 万的 Shopify 用户面临安全风险

2024-03-19 17:56
admin

在移动应用安全搜索引擎BeVigil周五发布的一份报告中发现,由于硬编码的Shopify秘钥给全球超过400万电子商务应用的用户带来了风险。

作为一个电子商务平台,Shopify允许任何人创建商店,这样可以使他们能够在网上销售他们的产品,也允许企业这样做。并且预计到2023年底,Shopify将被超过440万个网站使用,它们分布在175个以上的国家。

研究人员称,攻击者有可能通过电子商务应用程序获取数百万安卓用户的敏感数据。

最近,CloudSEKBeVigil的一份报告显示,研究人员发现了21个电子商务应用程序中有22个硬编码的ShopifyAPI密钥,这些密钥很可能会泄露大约400万用户的个人身份信息(PII),并且有可能会导致身份被盗。

API密钥一旦在代码中被硬编码,任何能够查看该代码的人,包括攻击者和未经授权的用户,都会看到该密钥。攻击者如果能够访问硬编码的密钥,那么就可以访问敏感数据。然后他们可以用它来窃取用户的商业数据。该公司在一份新闻稿中说,即使他们没有得到授权,他们仍然可以这样做。

关于信用卡的信息

研究人员说,基于他们在报告中进一步研究得出结论,22个硬编码密钥中至少有18个允许攻击者使用它们来查看客户的敏感数据。研究人员提供的第二份报告指出,有七个API密钥使得用户能够查看和修改礼品卡。此外,有六个API密钥允许威胁者窃取支付账户的相关信息。

程序收集大量的敏感数据,包括姓名、电子邮件地址、网站地址、国家、地址信息、电话号码和其他与店主有关的信息。该网站还使客户能够访问有关他们过去的订单和他们接收电子邮件的相关偏好信息。

关于支付账户的信息,威胁者可能会获取有关银行交易的细节,如客户用来购物的信用卡或借记卡。这些可以通过获取信用卡的BIN号码、卡的尾号、发卡公司的名称、浏览器的IP地址、卡上的名字、到期日期和其他敏感信息来获得。

据研究人员称,该商店使用的一个被泄露的API密钥提供了商店的认证细节。

研究人员还指出,这不是Shopify员工的错误,而是应用开发者向第三方泄露API密钥和令牌普遍出现的问题。

像Shopify这样的电子商务平台使各种规模的企业都能够轻松地创建一个网上商店,进而在网上销售他们的产品。据估计,目前有超过400万个网站与Shopify进行了集成,这使得网上购物者能够进行在线支付。

CloudSEK将他们的发现已经通知给了Shopify,但是,目前还没有收到Shopify的相关的回应。

相关文章

  • 苹果谷歌罕见联手打通系统,美国“健康码”5月面世?

    苹果谷歌罕见联手打通系统,美国“健康码”5月面世? 两家公司都在公告中,对项目进展做出了具体说明:这是一个全面的解决方案,其中包括应用程序编程接口(API)和操作系统技术,以实现追踪新冠病毒接触者。,这个消息一出,有人为苹果谷歌竟能一笑泯恩仇携手合作叫好,也有很多人更加担心自己的隐私问题。,苹果和谷歌也预计到了隐私问题,他们花费大量篇幅来说明保护措施。

    2024-03-22 08:15

  • “墨子号”超期服役再获惊喜 潘建伟团队实现量子通信重要突破

    “墨子号”超期服役再获惊喜 潘建伟团队实现量子通信重要突破 例如,通过32个中继节点相连接,世界首条量子保密通信“京沪干线”贯通了全长2000公里的城际光纤量子网络;而利用“墨子号”作为中继,中国科学家已经在自由空间信道实现了7600公里的洲际通信距离。,不过,想让天上的卫星干更多活,科学家需要在地面上做许多准备。,结合最新发展的量子纠缠源技术,潘建伟预计,未来卫星上可每秒产生10亿对纠缠光子,最终密钥成码率将提高到每秒几十比特或单次过境几万比特,从而实现

    2024-03-22 07:43

  • 为开发者生态保驾护航丨2020?OPPO开发者大会安全专场

    为开发者生态保驾护航丨2020?OPPO开发者大会安全专场 OPPO安全为开发者生态保驾护航在过去的一年,OPPO安全团队累计拦截攻击超过3000亿次,相当于每秒抵挡9500次攻击,打击黑灰APP超过500款,有利地保证了全体开发者和与合作伙伴的利益。,快应用便捷的产品特性受到用户喜爱,已覆盖超过10亿设备,并在不断延伸至其它智能终端使用。,此外,OPPO子午互联网安全实验室开发的快应用工具rpktool也在安全专场正式亮相。

    2024-03-21 21:45

  • w7激活码和产品密钥(windows7产品密钥永久版激活教程)

    w7激活码和产品密钥(windows7产品密钥永久版激活教程) 如果您购买了正版密钥,则可以通过直接连接到Internet来激活它。,然后点击下图“使用自动电话系统”:当您遇到下一步时,请单击它。,4、使用网友开发的“激活网页”,生成确认ID这里我推荐一个老外开发的网页:http://khoatoantin.com/cidms(用户名:trogiup24h|密码:PHO)看下图,我把上面的“安装ID”复制到了框中:点击“GetActivationID”,下图中

    2024-03-21 20:49

  • TikTok宣布支持iOS设备密钥登录

    TikTok宣布支持iOS设备密钥登录 密钥还可以抵御网络钓鱼等在线攻击,使其比短信一次性验证码更安全。,此外,在使用iOS密匙时,用户还必须为AppleID打开双重认证。,TikTok表示,它将从本月开始在亚洲,非洲,澳大利亚和南美推出iOS密钥,并预计将随着时间的推移而扩大地理和应用系统的支持范围。

    2024-03-19 17:56

  • 亚马逊云科技推出金融支付加密服务 Amazon Payment Cryptography

    亚马逊云科技推出金融支付加密服务 Amazon Payment Cryptography 2023年7月13日亚马逊云科技日前宣布推出金融支付加密服务AmazonPaymentCryptography,为支付处理类应用程序提供加密及密钥功能,简化客户在处理借记卡、信用卡和储值卡的支付应用过程中为保护数据而进行的加密操作,同时遵守支付卡行业(PCI)的各种标准和规则。,客户使用AmazonPaymentCryptography,只需根据活跃密钥数和API调用次数按实际用量付费,欲了解更多

    2024-03-19 16:21