Миллионы онлайн-покупателей могут подвергаться риску из-за жестко запрограммированных токенов Shopify
13 февраля 2023 г.Миллионы пользователей Android-приложения электронной коммерции рискуют получить доступ к конфиденциальным данным мошенников. , заявили исследователи.
В недавнем отчете BeVigil из CloudSEK говорится, что исследователи обнаружили 21 приложение электронной коммерции с 22 жестко запрограммированными ключами/токенами API Shopify, которые могут раскрывать личную информацию (PII) примерно четырех миллионов пользователей.
«При жестком кодировании ключа API ключ становится видимым для всех, у кого есть доступ к коду, включая злоумышленников или неавторизованных пользователей. Если злоумышленник получит доступ к жестко запрограммированному ключу, он сможет использовать его для доступа к конфиденциальным данным или выполнения действий от имени программы, даже если он не уполномочен на это», — говорится в пресс-релизе компании.
Данные кредитной карты
Из 22 жестко запрограммированных ключей по крайней мере 18 позволяют злоумышленникам просматривать конфиденциальные данные, принадлежащие клиентам, пояснили исследователи, добавив, что 7 ключей API позволяют просматривать и изменять подарочные карты, а 6 ключей API позволяют злоумышленникам украсть платежный аккаунт. информация.
Конфиденциальные данные включают имя владельца магазина, идентификатор электронной почты, название веб-сайта, страну, полный адрес, номер телефона и многое другое. Также можно получить прошлые заказы клиентов, а также предпочтения по электронной почте.
Что касается информации об учетной записи платежа, злоумышленники могут получить доступ к информации о банковских транзакциях, такой как данные кредитной и дебетовой карты, которые клиенты использовали для покупок. Номера BIN, конечные номера кредитных карт, названия компаний кредитных карт, IP-адреса браузеров, имена на кредитных картах, даты истечения срока действия и другие конфиденциальные данные — все это может быть получено.
Чтобы доказать свою точку зрения, исследователи поделились сведениями об аутентификации магазина с использованием одного из открытых ключей API.
Исследователи также подчеркнули, что это не упущение со стороны Shopify, а более широкая проблема API-ключи и токены сливаются разработчиками приложений.
Shopify – это платформа для электронной коммерции, которая позволяет компаниям быстро и легко создавать интернет-магазины. Сегодня более четырех миллионов веб-сайтов интегрировали Shopify в свои онлайн-покупки, что позволяет посетителям покупать как физические, так и цифровые товары.
Shopify был уведомлен о выводах CloudSEK, но еще не ответил.
- Вот наш список лучшего программного обеспечения для защиты конечных точек
Оригинал