Hvordan Shopify arbejder på at udvide internationalt
ZDNet ‘ s Natalie Gagliordi sidder med Karen Roby fra TechRepublic at tale om, hvordan Shopify er ved hjælp af dets udvikler økosystem til at vokse internationalt. Læs mere: https://zd.net/2UIxrZa
Et sikkerhedshul i en Shopify API endpoint er blevet opdaget af en forsker, som kan udnyttes til at lække den omsætning og trafik data fra tusindvis af butikker.
Ansøgning sikkerhed ingeniør og bug bounty hunter Ayoub Fathi offentliggjort sine resultater i en Medium blog-indlæg i denne uge.
Shopify, som tegner sig for over 800.000 købmænd i mere end 175 lande, oprette en ny API-i løbet af de seneste år, som fik Fathi ‘ s interesse. Denne API var beregnet til at blive brugt til internt at hente salg data til graf-præsentationer, men systemet blev fundet at være utæt indtægter data fra to unavngivne Shopify butikker, hvoraf den ene var blevet fjernet fra platformen.
Forskeren oprette en ny butik og brugt $storeName på samme API-slutpunkt til at teste, om ikke systemet var sårbart over for et Usikre Direkte Objekt Reference (IDOR) fejl. Men dette resulterede i en 404 fejl.
Fathi besluttede derefter at udføre en masse ind om alle de eksisterende butikker i stedet for at se, om nogen kunde oplysninger vil sive ud gennem API.
Et script blev bygget indeholder gemme navne og sårbare domæner blev filtreret ud efter ordlisten blev behandlet mod slutpunktet.
Ud af 1000 butikker, kun fire — en, som var lukket af-blev vist sig at være sårbar. Men forskeren gravet dybere ved hjælp af en større datasæt, der indeholder 813,684 poster, ved hjælp af Forward DNS.
En yderligere test af disse poster ved hjælp af et Bash script der var så gennemført, hvilket resulterer i en liste af udsatte butikker, som var utæt “salg af Shopify købmænd, der omfatter en månedlig fordeling af indtægter i USD af tusindvis af butikker fra 2015 og frem til i dag.”
“Vi har en liste over sårbare butikker, så hvis vi søge nogen af dem, vi ville få en opdeling af månedlige indtægter data i USD af den nuværende butik i løbet af sin levetid,” den forsker, der er tilføjet.
Billedet nedenfor er et eksempel på en butiksejer ‘ s indtægter fra 2015 til 2019.
×
1-botbjkm6bvvlz-cj5hbuda.jpg
Se også: EU til at finansiere bug bounty-programmer for 14 open source-projekter, der starter januar 2019
“Dette blev testet på 800,000 købmand butikker, +12,100 af dem blev udsat, +8700 sårbare over for butikkerne, at vi var i stand til at opnå deres salg og trafik data, og de skal ikke være forbudt, og 3400 forventes at have deres salg data til offentlige,” Fathi sagde.
Baseret på disse resultater, som forskeren konkluderede, at lækagen var forårsaget af Shopify Exchange-App, som blev indført for et par måneder, før den sårbarhed, som synes at have optrådt.
TechRepublic: Hvor kriminelle bruger svig vejledninger fra de Mørke Web til at fupnummer, organisationer og enkeltpersoner
Resultaterne blev sendt til Spotify på 13 oktober 2019. E-handel platform anerkendte resultater, tre dage senere, at løse problemet inden for en time af triage. Shopify derefter anmodet om yderligere oplysninger og spørgsmål blev lukket den 1. November
Shopify har løst lækage, men valgte ikke at tildele en bug bounty udbetaling. Selskabet nævnte overtrædelser som årsag.
I løbet af forskeren ‘ s efterforskning, at han “har interageret med andre butikker end dem, der er oprettet med [ham]”, som er i strid med virksomhedens bug bounty regler.
I en e-mail til Fathi, Shopify sagde:
“Mens vi er glade for, du forsøger at påvise effekten af de identificerede problem, forsætligt at få adgang til oplysninger af andre handlende og ikke straks rapportere dette til os, er af væsentlig bekymring til Shopify. Som et resultat, kan denne rapport ikke vil blive tildelt en bug bounty.”
Forskeren mener, at den anklage, der er relateret til ikke straks at rapportere fejl er urimelig i betragtning af den tid, det tog at bekræfte legitimitet sikkerhedshul. Men, Fathi ikke acceptere, at han brød reglerne — men understregede, at dette fandt sted med de “bedste intentioner til at påvise en effekt og undgå at sende en teoretisk rapport, uden at nogen arbejder proof of concept.”
CNET: Lyft efter sigende grænser for medarbejdernes adgang til kundedata
“Jeg tror, at jeg havde ingen anden måde at påvise eksistensen af denne særlige sårbarhed, hvis jeg ikke har fortsatte det på den måde, jeg gjorde,” den forsker, der er tilføjet. “Helt ærligt, selv resultatet af denne rapport, blev ikke som forventet, […] det er min skyld, ved slutningen.”
Opdatering 16.29 BST: EN Shopify talsmand fortalte ZDNet:
“På Shopify, vi ved, at en pålidelig erfaring er afgørende, at enhver købmand på vores platform, og vi har omfattende sikkerhed strategier i stedet for at støtte denne. Vores Bug Bounty program styrker disse bestræbelser og hjælper med at sikre, at vi leverer de mest sikre platform for vores forhandlere. Efter validering af rapporten, vores teknikere løst problemet inden for en time.”
Tidligere og relaterede dækning
Hyatt Hoteller lancerer bug bounty program
Facebook styrker bug bounty program med belønninger for brugeren token eksponering
Hyperledger bug bounty program går offentligt
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre