Shopify应用程序1750万条数据泄露超10万购物者信息泄露

Shopify应用程序1750万条数据泄露超10万购物者信息泄露

在Noam Rotem的带领下,vpnMentor的 研究小组发现了数据泄漏,该数据泄漏源于在直销行业中很受欢迎的第三方Shopify应用。

尽管我们不能绝对自信确认负责泄漏的应用程序(或其开发人员)的身份,但有力证据表明,它是流行的自动化工具Topdser。

Shopify上托管的直销店使用Topdser与阿里巴巴上的供应商联系,并使商店管理的各个方面实现自动化。

负责人无法确保使用其应用程序保护来自Shopify商店的数据正在处理。

结果,暴露了使用该应用程序在至少17,000个Shopify商店中进行的100,000笔购物的数据。

暴露的数据包括重要的个人身份信息数据,甚至是一些信用卡详细信息,这些信息可能被用来欺骗和窃取全球10,000万人。

数据泄露摘要

公司Topdser
总公司中国和美国
行业电子商务
数据大小(以千兆字节为单位)Shodan表示超过95GB(发现时为13GB
数据泄露记录条数Shodan的数据超过2.33亿(当我们发现它时约为1750万
暴露人数当我们发现它时80,000-100,000
日期范围/时间轴Shodan表示,2020年11月1日至21日
地理范围全世界
公开的数据类型订单详细信息; PII数据;隐藏的CC详细信息;密码重置请求;Shopify商店管理员API
潜在影响舞弊; 身份证盗窃;网络钓鱼 电子商务帐户接管
资料储存格式弹性搜索

Topdser应用程式

出于以下原因,我们认为流行的Shopify直销应用Topdser是造成数据泄漏的原因在Shopify上经营直销商店的人们使用Topdser来自动执行商店中的购买订单和付款。

什么是Dropshipping?

直销是一种电子商务模型,在这种模型中,您购买产品的商店实际上没有任何库存。取而代之的是,它通常从中国的第三方供应商那里采购产品。当您从直销网站购买时,商店会将订单转发给供应商,供应商直接将产品交付给您。

Shopify是最受欢迎的平台,具有直接托运人,易于设置和数千次集成的功能,可帮助运营成功的商店。

根据我们的研究,泄漏源于独立的第三方应用程序Topdser,该应用程序可简化为运营Shopify商店的托运人的订单。该应用程序从Shopify店面接收订单,并自动在较便宜的平台上针对同一产品向商店下订单。

发现者和所有者反应的时间表

  • 发现日期: 2020年11月21日
  • 联系Shopify的日期: 2020年11月21日
  • 联系Topdser的日期: 2020年11月22日
  • 答复日期: –
  • 行动日期: 2020年11月24日

有时,数据泄露的程度和数据的所有者是显而易见的,问题很快得到解决。但是这些时期很少见。我们常常需要进行数天的调查,才能了解到底有什么问题或谁在泄露数据。

了解漏洞及其潜在影响需要花费大量的时间和精力。我们会努力发布准确且可信赖的报告,以确保阅读它们的每个人都理解他们的认真性。

一些受影响的各方否认事实,无视我们的研究,或淡化其影响。因此,我们需要做到周密,并确保我们发现的所有信息都是正确和准确的。

在这种情况下,尽管有相当多的证据表明确实如此,但我们无法100%地确定Topdser造成了数据泄漏。

数据中嵌入的链接被定向到Topdser的网站。另一家公司将不可能获得创建它们所需的访问权限或许可。在泄漏数据库中也发现了该公司的名称。

我们检查了数据泄漏后立即通知Shopify,因为暴露的数据源自其平台上运行的商店,尽管该公司不对该泄漏负责。我们还联系了Topdser,以防造成泄漏, 从而可以关闭漏洞并保护数据。

当Shopify承认我们的披露时,Topdser没有回应。

但是,与公司联系后的一天,该数据库已脱机。

数据库中的条目示例

数据泄漏绝对是巨大的,暴露了超过1750万条记录。

此外,公开的记录仅记录应用在2020年11月的一天中记录的详细交易,购买和其他活动。

有证据表明,该数据库最初包含的数据 至少可以追溯到2020年11月开始,但是在我们分析该数据库之前,这些条目已被删除。

Shodan搜索引擎在数据库中显示了较早的记录,可追溯到2020年11月1日的数据更多

当我们发现服务器时,可以访问的1750万条记录破坏了多达100,000人在使用该应用程序的商店购物的安全性,并损害了17,000家商店的所有者。

商店购买发票

数据库的许多记录都包含该应用程序处理的Shopify商店购买的发票

每个订单都包含针对购买者的各种个人身份信息(PII)数据,以及有关购买本身的详细信息。
这些信息包括:

买家详细资料

  • 全名
  • 电话号码
  • 电子邮件地址
  • 家庭住址(包括国家,州和邮政编码)

采购明细

  • 订单编号
  • 项目清单
  • 个人价格
  • 物品链接
  • 追踪号码

交易明细

  • 采购成本
  • 运输成本
  • 支付方式
  • 付款时间戳记
  • 屏蔽的信用卡数据(包括最后4位数字和BIN号)

发票可以视为原始数据,也可以通过公开的文件URL访问(带有公开要求的身份验证令牌)。

原始数据显示来自1个采购订单的各种数据形式
可通过Topsder应用程序中的漏洞下载私人发票

Topsder商家帐户的密码重置电子邮件

公开的数据库还包含有关密码重置请求的日志,这些请求用于访问属于商店所有者的Topdser上的私人帐户。每个日志条目都包含一个指向请求重设的帐户的链接,一个指向相关帐户的密码重设页面的链接以及用户的电子邮件地址。

通过单击“重置密码”链接,黑客可以将密码更改为某人的Topdser帐户,而无需使用其电子邮件收件箱。 然后,他们可以更改密码,从数据库中获取电子邮件地址,登录到帐户,然后将其接管。

数据库中的技术条目,包括密码重置链接

Shopify商店管理员凭证

还公开了包含使用该应用程序对Shopify商店的API的访问凭据的身份验证令牌

这些 身份验证令牌可能会允许黑客从商店的订单中提取所有数据,以及商店所有者的私人数据(电子邮件地址,电话号码,公司或家庭住所等)。

许可级别和对所授予数据的访问范围取决于每个令牌的设置,就像登录用户的许可级别一样。一些将是只读的,但是其他一些可以提供“写入和修改”权限。这种访问级别可能会允许更改订单上的数据,重新路由它们,发出退款等等。

暴露管理员帐户凭据的数据条目

数据泄露影响

网络钓鱼

在网络钓鱼活动中,网络罪犯使用窃取的数据来创建模仿合法企业的电子邮件。然后,将电子邮件发送给该企业的客户(只有企业应了解的详细信息),以诱骗受害者共享更多的私人数据(例如信用卡详细信息)或单击嵌入有恶意软件(如病毒)的链接。

如果犯罪黑客发现了该数据库,则他们可能参与了针对Shopfiy客户的许多网络钓鱼活动。

暴露的数据也非常详细,使网络犯罪分子容易冒充商店所有者来建立信任和信誉

例如,许多购买记录都显示BIN号和所用信用卡的最后四位数字。

欺诈者可以将此信息与交货单结合在一起,以电子邮件发送给受害者以询问购买或声称存在付款错误。一个简单的消息,例如“信用卡号以1234结尾的错误,请重新输入您的卡详细信息以完成订单”,可能会诱使许多人泄露其信用卡详细信息。

这只是网络犯罪分子可以利用暴露的数据进行网络钓鱼活动的众多方式之一。

考虑到数据泄漏的规模,他们只需成功欺骗和欺骗一小部分人,就可以使它成为一个非常有利可图的操作。

财务欺诈和身份盗用

除了针对Shopify商店的客户以外,网络罪犯还可以使用从数据库中提取的任何信息以及成功的网络钓鱼活动来进行各种无关的非法活动。

由于暴露了如此多的个人和财务数据,网络犯罪分子可能会进行信用卡欺诈,银行欺诈,邮件欺诈,税务欺诈等等。

实际上,他们可以轻易地进行大规模的身份盗用 ,对成功地成为目标的任何人造成破坏性后果。

对Shopify商店所有者的影响

暴露于数据泄漏中的直销店也容易受到各种各样的问题的影响。

数据泄漏显示了有关受影响商店及其所有者的大量详细信息。

直销业务是建立在隐私和有针对性的营销基础之上的,直销公司对其运作方式的秘密难以置信。

泄露事件破坏了超过17,000家直销店的隐私,泄露了有关其收入,最畅销产品,目标市场,地理覆盖范围以及更多内容的详细信息。

竞争对手可以利用所有这些信息,通过创建竞争对手的报价并复制商店的策略来破坏其业务。

商店所有者本身也面临风险。就像他们的客户一样,他们可能成为网络钓鱼活动和欺诈的目标。黑客可能诱使商店所有者提供对公司信用卡和借记卡,银行帐户等的访问。

对企业及其所有者的影响将是毁灭性的,有可能使他们破产。

应用程序帐户接管

可见的密码重置电子邮件使不良行为者可以发送密码重置请求并捕获重置链接,而无需访问电子邮件地址收件箱。

我们认为这些是Topdser上的帐户。

通过访问某个人的帐户,黑客和网络罪犯可以接管各个商店的帐户,并有可能取消送货,付款,更改送货地址等,这可能为犯罪分子带来新的机会。

专家的建议

如果负责的开发人员采取了一些基本的安全措施来保护数据库,则可以很容易地避免这种数据泄漏。这些包括但不限于:

  1. 保护其服务器。
  2. 实施适当的访问规则。
  3. 永远不要将不需要身份验证的系统开放给互联网。
  4. 彻底审查您采用的任何第三方应用程序和集成,以确保它们满足最高的数据安全标准。

任何公司,无论规模大小,都可以复制相同的步骤

对于Topdser用户

如果您在Shopify商店上使用Topdser,并且担心此违规行为可能对您或您的客户造成影响,请直接与公司联系,以确定正在采取哪些步骤来保护您的数据。

它向您展示了网络犯罪分子针对互联网用户的多种方式,以及为确保安全而采取的步骤。

我们如何以及为何发现突破口

vpnMentor研究团队发现了公开的数据库,这是一个庞大的网络映射项目的一部分。我们的研究人员使用大型网络扫描仪搜索不安全的数据存储,其中包含不应公开的信息。然后,他们检查每个数据存储中是否有泄漏的数据。

我们的团队能够访问此数据库,因为它是完全不安全和未加密的。

该应用程序使用的是Elasticsearch数据库,该数据库通常不是为使用URL设计的。但是,我们可以通过浏览器访问它,并可以操纵URL搜索条件以随时暴露来自单个索引的模式。

每当发现数据泄露时,我们都会使用专家技术来验证数据库的所有者,通常是商业企业。

作为道德黑客, 当我们发现公司的在线安全漏洞时,有义务通知公司。我们与Shopify和Topdser取得了联系,以使他们了解该漏洞并提出保护其系统的方法。

这些道德规范也意味着我们对公众负有责任。在线购物者还必须意识到可能会泄露大量敏感数据的数据泄露。

此Web制图项目的目的是帮助使所有用户的互联网更加安全。

我们从不出售,存储或公开在安全研究期间遇到的任何信息。[我信你个鬼!]

from