近日，Shopify合作應用Topdser被曝正在泄露客戶的隱私數據，包括用戶的信用卡數據和個人詳細信息，數千名購物者受影響。

?

據悉，數據泄露的根源尚不能100%確定下來，但是有相當多地證據表明Topdser是造成了此次信息泄露的原因。數據中嵌入的鏈接指向了Topdser的網站，而其他公司無法獲得訪問或創建這些鏈接的權限。

?

Topdser是Shopify的合作應用程序，可支持Shopify賣家從AliExpress和1688導入商品并一鍵發布到Shopify商店中，降低成本的同時獲得3倍的運輸速度；以及自動化批量訂購，Shopify賣家可以在幾秒之內利用AliExpress的官方接口無縫下單，最高可達300個訂單，訂單與訂單之間無需等待。

（Topdser在Shopify應用商店的展示頁面）

?

近1.7萬Shopify賣家受影響

?

研究人員指出，有超過1.7萬家Shopify商店的10萬筆購買數據遭到泄露，暴露的數據總量高達13GB，而在Shodan搜索引擎上的數據總量也才95GB多一點。

?

與此同時，研究人員指出，剛發現的時候泄露的信息記錄為1750萬份，然而Shodan透露總共有2300萬份記錄被泄露，這意味著此次數據泄露可能影響了大約8萬至10萬名消費者。

?

VPNMentor分享出來的截圖顯示泄露的數據包括訂單詳細信息、信用卡和PII（個人身份信息）數據。

據hackread網站，VPNMentor早在2020年11月21日便發現了Shopify存在數據泄露的問題，并立即通知了Shopify，但Shopify并未對此事負責。

?

Topdser也接到了同樣的提醒，VPNMentor建議其關閉漏洞并采取措施保護被暴露的數據。

?

涉事數據庫已在2020年11月24日關閉，但這兩家公司均為對此事做出回應或發布正式聲明。而數據泄露可能會帶來竊取或欺詐的隱患。

?

Shopify數據泄露事件時有發生

?

不久前Shopify還被曝出其安全漏洞泄露了加密貨幣硬件錢包提供商Ledger的用戶信息，預計將使20000名分類賬客戶面臨風險。

由于用戶全名、家庭住址和電子郵件遭泄露，一些用戶遭遇了不法分子的網絡釣魚，甚至有人報告了涉及死亡威脅的勒索案件。

?

此外，2020年9月22日，Shopify被曝出其兩名員工竊取了大約200名商家的交易記錄，但涉事員工在去年4月和6月就已經將數據泄露了出去，其中也包括Ledger客戶的信息。

?

據悉，Shopify正與美國聯邦調查局和其他國際執法機構合作調查這起事件，Ledger也已向法國數據保護機構報告了Shopify事件，并及時告知了涉及隱私泄露的用戶事件進展。

?

看來以后Shopify還得在保護用戶隱私上面多上點心，加強網絡安全建設，避免此類事件的再次發生。