近日，Shopify合作應(yīng)用Topdser被曝正在泄露客戶的隱私數(shù)據(jù)，包括用戶的信用卡數(shù)據(jù)和個人詳細信息，數(shù)千名購物者受影響。

?

據(jù)悉，數(shù)據(jù)泄露的根源尚不能100%確定下來，但是有相當(dāng)多地證據(jù)表明Topdser是造成了此次信息泄露的原因。數(shù)據(jù)中嵌入的鏈接指向了Topdser的網(wǎng)站，而其他公司無法獲得訪問或創(chuàng)建這些鏈接的權(quán)限。

?

Topdser是Shopify的合作應(yīng)用程序，可支持Shopify賣家從AliExpress和1688導(dǎo)入商品并一鍵發(fā)布到Shopify商店中，降低成本的同時獲得3倍的運輸速度；以及自動化批量訂購，Shopify賣家可以在幾秒之內(nèi)利用AliExpress的官方接口無縫下單，最高可達300個訂單，訂單與訂單之間無需等待。

（Topdser在Shopify應(yīng)用商店的展示頁面）

?

近1.7萬Shopify賣家受影響

?

研究人員指出，有超過1.7萬家Shopify商店的10萬筆購買數(shù)據(jù)遭到泄露，暴露的數(shù)據(jù)總量高達13GB，而在Shodan搜索引擎上的數(shù)據(jù)總量也才95GB多一點。

?

與此同時，研究人員指出，剛發(fā)現(xiàn)的時候泄露的信息記錄為1750萬份，然而Shodan透露總共有2300萬份記錄被泄露，這意味著此次數(shù)據(jù)泄露可能影響了大約8萬至10萬名消費者。

?

VPNMentor分享出來的截圖顯示泄露的數(shù)據(jù)包括訂單詳細信息、信用卡和PII（個人身份信息）數(shù)據(jù)。

據(jù)hackread網(wǎng)站，VPNMentor早在2020年11月21日便發(fā)現(xiàn)了Shopify存在數(shù)據(jù)泄露的問題，并立即通知了Shopify，但Shopify并未對此事負責(zé)。

?

Topdser也接到了同樣的提醒，VPNMentor建議其關(guān)閉漏洞并采取措施保護被暴露的數(shù)據(jù)。

?

涉事數(shù)據(jù)庫已在2020年11月24日關(guān)閉，但這兩家公司均為對此事做出回應(yīng)或發(fā)布正式聲明。而數(shù)據(jù)泄露可能會帶來竊取或欺詐的隱患。

?

Shopify數(shù)據(jù)泄露事件時有發(fā)生

?

不久前Shopify還被曝出其安全漏洞泄露了加密貨幣硬件錢包提供商Ledger的用戶信息，預(yù)計將使20000名分類賬客戶面臨風(fēng)險。

由于用戶全名、家庭住址和電子郵件遭泄露，一些用戶遭遇了不法分子的網(wǎng)絡(luò)釣魚，甚至有人報告了涉及死亡威脅的勒索案件。

?

此外，2020年9月22日，Shopify被曝出其兩名員工竊取了大約200名商家的交易記錄，但涉事員工在去年4月和6月就已經(jīng)將數(shù)據(jù)泄露了出去，其中也包括Ledger客戶的信息。

?

據(jù)悉，Shopify正與美國聯(lián)邦調(diào)查局和其他國際執(zhí)法機構(gòu)合作調(diào)查這起事件，Ledger也已向法國數(shù)據(jù)保護機構(gòu)報告了Shopify事件，并及時告知了涉及隱私泄露的用戶事件進展。

?

看來以后Shopify還得在保護用戶隱私上面多上點心，加強網(wǎng)絡(luò)安全建設(shè)，避免此類事件的再次發(fā)生。