Hoe Shopify is werken om internationaal uit te breiden
ZDNet is Natalie Gagliordi zitten met Karen Roby van TechRepublic om te praten over hoe Shopify is met de ontwikkelaar van het ecosysteem om te groeien, internationaal. Lees meer: https://zd.net/2UIxrZa
Een lek in een Shopify API-eindpunt zijn ontdekt door een onderzoeker die kan worden gebruikt om lekken in de inkomsten-en verkeersgegevens van duizenden winkels.
Application security engineer en bug bounty hunter Ayoub Fathi vermeld zijn bevindingen in een Middelgrote blog post deze week.
Shopify, die goed is voor meer dan 800.000 handelaren in meer dan 175 landen, het opzetten van een nieuwe API over het afgelopen jaar, die gewonnen Fathi belang. Deze API is bedoeld om te worden gebruikt voor intern omzet halen gegevens voor de grafiek presentaties, maar het systeem bleek te lekken de omzet gegevens van twee naamloos Shopify winkels, een van die waren verwijderd van het platform.
De onderzoeker het opzetten van een nieuwe winkel en gebruikt $storeName op dezelfde API-eindpunt te testen of het systeem is kwetsbaar voor een Onveilige Directe Verwijzing naar het Object (IDOR) bug. Echter resulteerde dit in een 404 fout.
Fathi vervolgens besloten tot het uitvoeren van een massa-controle op alle bestaande winkels in de plaats te zien als een klant informatie zou lekken via de API.
Een script is gebouwd met het opslaan van namen en kwetsbare domeinen werden gefilterd uit na de woordenlijst was gegaan tegen het eindpunt.
Op de 1000 winkels, slechts vier — een van die was gesloten — werden getoond kwetsbaar te zijn. Echter, de onderzoeker dieper uitgegraven met behulp van een grotere dataset, met 813,684 records, met behulp van Forward DNS.
Een verdere test van deze records met een Bash script werd uitgevoerd, resulterend in een lijst van kwetsbare winkels die werden lekkende de “verkoop data van Shopify kooplieden die omvat een maandelijkse uitsplitsing van de omzet in USD van duizenden winkels van 2015 tot de dag van vandaag.”
“We hebben een lijst van kwetsbare winkels, dus als we de query een van hen, zouden we een uitsplitsing van de maandelijkse ontvangsten gegevens in USD van de huidige winkel tijdens de levensduur van de” de onderzoeker toegevoegd.
De onderstaande afbeelding is een voorbeeld van een shop eigenaar van de omzet van 2015 tot 2019.
×
1-botbjkm6bvvlz-cj5hbuda.jpg
Zie ook: EU-fonds bug bounty ‘programma’ s voor 14 open source-projecten, vanaf januari 2019
“Dit is getest op meer dan 800.000 merchant winkels, +12,100 van hen werden blootgesteld, +8700 waren kwetsbaar slaat dat we in staat waren om hun verkoop-en verkeersgegevens en moeten ze niet openbaar zijn, en 3400 worden verwacht dat hun omzet gegevens publiek,” Fathi zei.
Op basis van deze bevindingen, de onderzoeker concludeerde dat het lek werd veroorzaakt door de Shopify Exchange-App die geïntroduceerd werd een paar maanden voor de kwetsbaarheid lijkt te hebben gestaan.
TechRepublic: Hoe criminelen gebruiken fraude gidsen van de Donkere Web zwendel van organisaties en individuen
De bevindingen werden overgemaakt aan Spotify op 13 oktober 2019. Het e-commerce platform bevestigd de bevindingen drie dagen later, met vaststelling van het probleem binnen een uur van de triage. Shopify vervolgens gevraagd om meer informatie en het probleem werd gesloten op 1 November.
Shopify is opgelost door het lek, maar koos niet voor de toekenning van een bug bounty-uitbetaling. Het bedrijf aangehaald schending van het beleid als van de reden.
Tijdens de onderzoeker exploratie, hij “interactie met winkels, andere dan die worden gemaakt door [hem],” dat is een schending van het bedrijf bug bounty regels.
In een e-mail naar Fathi, Shopify zei:
“Terwijl wij waarderen je je probeert aan te tonen dat de impact van de geïdentificeerde probleem, opzettelijk toegang tot informatie van andere handelaren, en het niet direct melden dit aan ons is het van aanzienlijk belang voor Shopify. Als resultaat van dit rapport zal niet worden bekroond met een bug bounty.”
De onderzoeker is van mening dat de beschuldiging in verband met het niet direct melden van de bug is oneerlijk gezien de tijd die het duurde om te bevestigen dat de legitimiteit van de lek. Echter, Fathi niet accepteren dat hij brak de regels — maar benadrukt dat dit gebeurde met de “beste voornemen tot het aantonen van een effect en voorkomen dat het verzenden van een theoretische rapport zonder een werkende proof of concept.”
CNET: Lyft naar verluidt grenzen van de werknemers de toegang tot de gegevens van de klant
“Ik geloof dat ik had geen andere manier om te wijzen op het bestaan van deze bijzondere kwetsbaarheid in de beveiliging als ik niet zo van de manier waarop ik het deed,” de onderzoeker toegevoegd. “Eerlijk gezegd, zelfs de uitkomst van dit rapport was niet zoals verwacht, […] het is mijn schuld op het einde.”
ZDNet heeft bereikt Shopify en zal updaten als we horen terug.
Vorige en aanverwante dekking
Hyatt Hotels lanceert bug bounty ‘ programma
Facebook versterkt bug bounty ‘ programma met beloningen voor de gebruiker token blootstelling
Hyperledger bug bounty ‘ programma gaat naar de beurs
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters