Hur Shopify arbetar för att expandera internationellt
ZDNet är Natalie Gagliordi sitter ner med Karen Roby från TechRepublic för att prata om hur Shopify är med hjälp av dess utvecklare ekosystem att växa internationellt. Läs mer: https://zd.net/2UIxrZa
En säkerhetsbrist i en Shopify API slutpunkt har upptäckts av forskare som kan utnyttjas för att läcka intäkter och trafikuppgifter i tusentals butiker.
Ansökan säkerhet ingenjör och bug bounty hunter Ayoub Fathi avslöjade sina resultat i en Medelstor blogg inlägg den här veckan.
Shopify, som står för över 800 000 handlare i mer än 175 länder, satt upp ett nytt API under det senaste året som inte fick Fathi intresse. Detta API var tänkt att användas internt ska hämta försäljning av data för diagram presentationer, men systemet var läcker inkomster data av två namnlösa Shopify-butiker, varav en hade tagits bort från plattformen.
Forskaren ställa upp en ny butik och används $storeName på samma API slutpunkt för att testa om systemet var utsatta för en Osäker Direkt Objekt Referens (IDOR) fel. Men detta resulterade i ett 404-fel.
Fathi sedan bestämde sig för att utföra en massa kontrollera att alla befintliga butiker istället för att se om någon kund information skulle läcka genom API.
Ett skript som byggdes som innehåller lagra namn och utsatta domäner filtrerades ut efter ordlista var vm mot slutpunkten.
Av 1000 butiker, bara fyra, varav en var stängt — visat sig vara sårbara. Men forskare grävt djupare med hjälp av en större dataset, som innehåller 813,684 poster, genom att använda Vidarebefordra DNS.
Ett ytterligare test av dessa poster med hjälp av ett Bash-script som genomfördes då, vilket resulterar i en lista över sårbara butiker som läcker “försäljning av Shopify-handlare som har en månatlig uppdelning av intäkter i USD på tusentals butiker från och med 2015 och fram till idag.”
“Vi har en lista över sårbara butiker, så om vi frågar någon av dem, skulle vi få en uppdelning av månatliga inkomster data i USD av den aktuella butiken under dess livstid,” forskaren lagt till.
Bilden nedan är ett exempel på en butik ägarens intäkter från 2015 till 2019.
×
1-botbjkm6bvvlz-cj5hbuda.jpg
Se även: EU för att finansiera bug bounty program för 14 öppen källkod-projekt som startar i januari 2019
“Detta testades på 800,000 handlare butiker, +till 12 100 av dem som var utsatta, +8700 var utsatta butiker som vi skulle kunna få sina försäljnings-och trafikuppgifter och att de inte bör vara offentliga, och 3400 förväntas ha deras försäljning”, säger Fathi.
Baserat på dessa resultat, forskare slutsatsen att läckan orsakades av Shopify Utbyte App, som infördes för några månader före sårbarheten tycks ha dykt upp.
TechRepublic: Hur brottslingar använder bedrägeri guider från de Mörka Webben bluff organisationer och individer
Resultaten skickades till Spotify den 13 oktober 2019. E-handelsplattform erkänns resultatet tre dagar senare, fastställande av frågan inom en timme av triage. Shopify då begärt mer information och fråga var stängt den 1 November.
Shopify har löst läcka men valde att inte tilldela en bug bounty-utdelning. Bolaget åberopade brott mot en policy som skäl.
Under forskarens undersökning, han har “samverkat med andra butiker än de som har skapats genom [honom],” som är i strid med företagets bug bounty regler.
I ett e-postmeddelande till Fathi, Shopify sade:
“Samtidigt som vi uppskattar att du försöker att visa på effekterna av de identifierade problemet, avsiktligt komma åt information i andra handlare och inte omedelbart rapportera detta till oss är av betydande oro för att Shopify. Som en följd av denna rapport kommer inte att delas ut en bug bounty.”
Forskaren anser att anklagelsen rör inte omedelbart rapportera felet är orättvist med tanke på den tid det tog att bekräfta legitimiteten av säkerhetsbrist. Men, Fathi acceptera att han bröt mot reglerna-men betonade att detta skedde med de “bästa avsikt att visa effekt och för att undvika att skicka en teoretisk rapport utan någon som arbetar proof of concept.”
CNET: Lyft enligt uppgift begränsar de anställdas tillgång till kundens data
“Jag tror att jag hade inga andra sätt att påvisa förekomsten av denna säkerhetsrisk om jag inte fortsatte med det på det sätt jag gjorde,” forskaren lagt till. “Uppriktigt sagt, även resultatet av denna rapport var inte som väntat, […] det är mitt fel i slutändan”.
Uppdatering 16.29 BST: EN Shopify talesperson berättade ZDNet:
“På Shopify, vi vet att en betrodd erfarenhet är avgörande för att varje handlare på vår plattform och vi har övergripande säkerhetsstrategier på plats för att stödja detta. Vår Bug Bounty programmet förstärker dessa insatser och hjälper till att säkerställa att vi levererar den mest säker plattform för våra annonsörer. Efter validering av rapporten, vårt tekniska team har löst problemet inom en timme.”
Tidigare och relaterade täckning
Hyatt Hotels lanserar bug bounty program
Facebook stärker bug bounty program med belöningar för användaren token exponering
Hyperledger bug bounty programmet blir offentlig
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter