Come Shopify sta lavorando per espandere a livello internazionale
ZDNet Natalie Gagliordi si siede con Karen Roby da TechRepublic, per parlare di come Shopify con il suo ecosistema di sviluppatore per crescere a livello internazionale. Leggi di più: https://zd.net/2UIxrZa
Una falla di sicurezza in un Shopify endpoint API è stato scoperto da un ricercatore che possono essere sfruttate per la perdita di reddito e di dati di traffico di migliaia di negozi.
Applicazione security engineer e bug bounty hunter Ayoub Fathi comunicati i suoi risultati in un Mezzo post del blog di questa settimana.
Shopify, che rappresenta oltre 800.000 mercanti in più di 175 paesi, impostare una nuova API nel corso dell’anno passato che ha guadagnato di Fathi interesse. Questa API è stato pensato per essere usato internamente per recuperare i dati di vendita per il grafico di presentazioni, ma il sistema è stato trovato per essere la perdita di entrate i dati delle due senza nome Shopify negozi, uno dei quali era stato rimosso dalla piattaforma.
Il ricercatore impostare un nuovo negozio e usato $storeName sullo stesso endpoint API per verificare se il sistema è vulnerabile a un Insicuro Riferimento dell’Oggetto Diretto (IDOR) bug. Tuttavia, questo ha provocato un errore 404.
Fathi quindi deciso di eseguire un controllo di massa in tutti i negozi, invece, per vedere se le informazioni dei clienti potrebbe fuoriuscire attraverso le API.
Uno script è stato costruito contenente i nomi dei negozi e vulnerabili domini sono stati filtrati dopo il dizionario è stato iterato contro l’endpoint.
Di 1000 negozi, solo quattro-uno dei quali era chiusa, hanno dimostrato di essere vulnerabile. Tuttavia, il ricercatore scavato più in profondità, utilizzando un set di dati più grandi, contenenti 813,684 record, mediante Inoltro DNS.
Una prova ulteriore di questi record utilizzando uno script Bash è stato poi attuato, risultante in un elenco di soggetti vulnerabili negozi che stava perdendo i “dati di vendita di Shopify commercianti che comprende un resoconto mensile delle entrate in USD di migliaia di negozi a partire dal 2015 e fino ad oggi”.
“Abbiamo una lista di persone vulnerabili negozi, quindi se una query qualsiasi di loro, si potrebbe ottenere una ripartizione del fatturato mensile dei dati in USD di archivio corrente durante la sua vita,” il ricercatore aggiunto.
L’immagine qui sotto è un esempio di un proprietario di un negozio di entrate a partire dal 2015 e fino al 2019.
×
1-botbjkm6bvvlz-cj5hbuda.jpg
Vedi anche: UE a fondo bug bounty programmi per 14 progetti open source a partire da gennaio 2019
“Questo è stato testato su di 800.000 negozi mercantili, +12,100 di loro sono stati esposti, +8700 erano vulnerabili negozi che siamo stati in grado di ottenere le loro vendite e il traffico dati e non dovrebbero essere pubblici, e 3400 devono avere i loro dati di vendita al pubblico,” Fathi ha detto.
Sulla base di questi risultati, il ricercatore ha concluso che la perdita è stata causata da Shopify Exchange App, che è stata introdotta un paio di mesi prima che la vulnerabilità sembra.
TechRepublic: Come i criminali utilizzano frode guide del Dark Web per truffa organizzazioni e gli individui
I risultati sono stati inviati a Spotify, il 13 ottobre 2019. La piattaforma e-commerce riconosciuto i risultati dopo tre giorni, risolvi il problema all’interno di un’ora di triage. Shopify quindi richiesto ulteriori informazioni e la questione è stata chiusa 1 novembre.
Shopify ha risolto la falla, ma ha scelto di non assegnare un bug bounty pagamento. La società citate violazioni dei criteri come la ragione.
Durante il ricercatore di esplorazione, ha “interagito con negozi diversi da quelli creati da [lui]”, che è in violazione della ditta bug bounty regole.
In una e-mail a Fathi, Shopify, ha detto:
“Mentre apprezziamo si stavano cercando di dimostrare l’impatto della identificato il problema, intenzionalmente l’accesso alle informazioni di altri mercanti e non immediatamente segnalato questo per noi è fonte di forte preoccupazione per Shopify. Come risultato, questo report non verrà assegnato un bug bounty.”
Il ricercatore ritiene che le accuse relative al non immediatamente segnalato il bug è ingiusto considerando il tempo impiegato per confermare la legittimità della falla di sicurezza. Tuttavia, Fathi non accetta che egli ha rotto le regole-ma ha sottolineato che questo è avvenuto con il “best intenzione di dimostrare un impatto al fine di evitare l’invio di una relazione teorica senza lavoro qualsiasi prova di concetto”.
CNET: Lyft riferito limiti di lavoratori accesso ai dati del cliente
“Credo di non aveva altro modo per dimostrare l’esistenza di questa particolare vulnerabilità di sicurezza se non ho proceduto nel modo che ho fatto”, il ricercatore aggiunto. “Francamente, anche il risultato di questo rapporto non è stato come previsto, […] la colpa è mia, alla fine.”
Aggiornamento 16.29 BST: Shopify portavoce ha detto a ZDNet:
“A Shopify, sappiamo che attendibile esperienza è fondamentale per ogni commerciante sulla nostra piattaforma e abbiamo un vasto strategie di sicurezza in atto per il supporto. Il nostro Bug Bounty program rafforza questi sforzi e aiuta a garantire di fornire piattaforma sicura per i nostri commercianti. Dopo la convalida del rapporto, il nostro team di progettazione ha risolto il problema nel giro di un’ora.”
Precedente e relativa copertura
Hyatt Hotels lancia il bug bounty program
Facebook rafforza il bug bounty program con premi per il token dell’utente esposizione
Hyperledger bug bounty program va
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati