متن خبر

میلیون‌ها خریدار آنلاین ممکن است در معرض خطر توکن‌های کدگذاری شده Shopify قرار بگیرند

میلیون‌ها خریدار آنلاین ممکن است در معرض خطر توکن‌های کدگذاری شده Shopify قرار بگیرند

اخبارمیلیون‌ها خریدار آنلاین ممکن است در معرض خطر توکن‌های کدگذاری شده Shopify قرار بگیرند
شناسهٔ خبر: 266029 -




خبرکاو:

در حال بارگیری پخش کننده صوتی…

محققان ادعا می کنند میلیون ها کاربر برنامه تجارت الکترونیک اندروید در معرض خطر دسترسی کلاهبرداران به داده های حساس خود هستند.

گزارش اخیر BeVigil از CloudSEK می گوید که محققان 21 برنامه تجارت الکترونیک را با 22 کلید/توکن API Shopify کشف کرده اند که می تواند اطلاعات شناسایی شخصی (PII) تقریباً چهار میلیون کاربر را در معرض نمایش بگذارد.

"با کدگذاری سخت کلید API، کلید برای هر کسی که به کد دسترسی دارد، از جمله مهاجمان یا کاربران غیرمجاز، قابل مشاهده می شود. اگر مهاجمی به کلید رمزگذاری شده دسترسی پیدا کند، می‌تواند از آن برای دسترسی به داده‌های حساس یا انجام اقداماتی از طرف برنامه استفاده کند، حتی اگر مجاز به انجام این کار نباشد.»

داده های کارت اعتباری

محققان بیشتر توضیح دادند که از 22 کلید رمزگذاری شده، حداقل 18 مورد به مهاجمان امکان مشاهده داده های حساس متعلق به مشتریان را می دهد و گفت ند که 7 کلید API امکان مشاهده و اصلاح کارت های هدیه را فراهم می کند و 6 کلید API به عوامل تهدید امکان سرقت اطلاعات حساب پرداخت را می دهد.

اطلاعات حساس شامل نام صاحب مغازه، شناسه ایمیل، نام وب سایت، کشور، آدرس کامل، شماره تلفن و موارد دیگر است. سفارشات گذشته مشتریان و همچنین ترجیحات بازاریابی ایمیلی نیز قابل دریافت است.

در مورد اطلاعات حساب پرداخت، عوامل تهدید می توانند به اطلاعات تراکنش های بانکی مانند جزئیات کارت اعتباری و بدهی که مشتریان برای خرید استفاده می کنند، دسترسی داشته باشند. شماره BIN، شماره پایان کارت اعتباری، نام شرکت کارت اعتباری، IP مرورگر، نام روی کارت‌های اعتباری، تاریخ انقضا، و سایر داده‌های حساس - همگی قابل دریافت هستند.

برای اثبات نظر خود، محققان جزئیات فروشگاه در مورد احراز هویت را با استفاده از یکی از کلیدهای API در معرض نمایش به اشتراک گذاشتند.

محققان همچنین تاکید کردند که این یک نادیده گرفتن در پایان Shopify نیست، بلکه یک مشکل گسترده‌تر از کلیدهای API و توکن‌هایی است که توسط توسعه‌دهندگان برنامه‌ها به بیرون درز می‌کنند.

Shopify یک پلت فرم تجارت الکترونیک است که به کسب و کارها امکان می دهد تا به سرعت و به راحتی یک فروشگاه آنلاین راه اندازی کنند. امروزه بیش از چهار میلیون وب سایت Shopify را در تجربه خرید آنلاین خود ادغام کرده اند و به بازدیدکنندگان امکان خرید محصولات فیزیکی و دیجیتالی را می دهند.

Shopify از یافته های CloudSEK مطلع شد، اما هنوز پاسخی نداده است.

برچسب‌ها

اخبار مرتبط :

Aembit 16.6 میلیون دلار جمع آوری می کند تا مدیریت هویت را به حجم کاری برساند
Aembit 16.6 میلیون دلار جمع آوری می کند تا مدیریت هویت را به حجم کاری برساند
توییچ می گوید 400 کارمند خود را اخراج خواهد کرد
توییچ می گوید 400 کارمند خود را اخراج خواهد کرد
AWS در آخرین دور از اخراج آمازون ضربه خورد
AWS در آخرین دور از اخراج آمازون ضربه خورد
Flagstar Bank برای خرید برخی از دارایی های Signature Bank، اما نه عملیات رمزنگاری
Flagstar Bank برای خرید برخی از دارایی های Signature Bank، اما نه عملیات رمزنگاری
برای غول‌های فناوری، برجستگی هوش مصنوعی چوب اندازه‌گیری جدید است
برای غول‌های فناوری، برجستگی هوش مصنوعی چوب اندازه‌گیری جدید است

ارسال نظر




تبليغات ايهنا تبليغات ايهنا

تمامی حقوق مادی و معنوی این سایت متعلق به خبرکاو است و استفاده از مطالب با ذکر منبع بلامانع است