Bulletins

L’application Shopify expose les données privées de milliers d’acheteurs

bs1.jpg

Des données sensibles ont été exposées par l’application grand public Shopify, affectant ainsi plusieurs milliers de clients. En effet, cette application aurait exposé les données privées des clients Shopify, y compris les données de cartes de crédit ainsi que les détails personnels des clients.

Les chercheurs de VPNMentor qui ont identifié les données en question ne sont pas encore certains de l’origine de cette fuite. Cependant, d’après les preuves collectées, ce serait l’application de dropshipping Shopify Topdser qui aurait provoqué cette fuite de données. Les chercheurs ont affirmé que plus de 100 000 données d’achat ont été compromises dans plus de 17 000 boutiques Shopify. Qui plus est, les chercheurs ont indiqué que les données exposées étaient d’environ 13 Go lors de la découverte sur Shodan, la taille totale et réélle des données était de 95+ Go.

Les chercheurs ont également noté lors de la découverte de cette fuite de données que le nombre de documents dévoilés s’élevait au nombre de 17.5 millions. Shodan a cependant révélé que 23 millions d’enregistrements avaient été compromis au total. Ceci veut dire que la fuite de données aurait pu toucher entre 80 000 et 100 000 clients.

La fuite de données a été découverte par l’équipe VPNMentor et cette dernière a tout de suite informé Shopify étant donné que les données leur appartenaient. Il est cependant important de mentionner que l’entreprise n’est pas responsable de cette fuite. L’équipe de recherche a aussi contacté Topdser ce jour-là afin de fermer la faille et sécuriser les données compromises. La base de données a été mise hors ligne, mais aucune déclaration officielle n’a été publiée par les entreprises concernées. Cette faille est jugée assez critique vu qu’il est possible d’utiliser les données afin de voler ou frauder des milliers d’acheteurs Shopify à l’échelle mondiale.