40 lakh’tan fazla cep telefonu kullanıcısının hassas verileri, siber güvenlik araştırmacılarının Cuma günü kritik bir güvenlik açığını ortaya çıkardıktan sonra hacklenme riski altında. Shopify uygulama programlama Arayüzü (API) anahtarlar/jetonlar.
Siber güvenlik şirketi BulutSEKMobil uygulamalar için bir güvenlik arama motoru olan BeVigil, 40 binden fazla mobil müşterisinin hassas verilerini riske atan güvenlik açığını ortaya çıkardı.
Milyonlardan Android uygulamaları, 21 e-ticaret uygulamasının 22 sabit kodlu Shopify API anahtarına/jetonuna sahip olduğu ve kişisel olarak tanımlanabilir bilgileri (PII) olası tehditlere maruz bıraktığı belirlendi.
Ayrıca Oku
API anahtarının kodlanmasıyla, anahtar, saldırganlar veya yetkisiz kullanıcılar da dahil olmak üzere, koda erişimi olan herkes tarafından görülebilir hale gelir.
Güvenlik araştırmacıları, bir saldırganın sabit kodlanmış anahtara erişim kazanması durumunda, bunu yapmaya yetkili olmasalar bile hassas verilere erişmek veya program adına eylemler gerçekleştirmek için kullanabileceğini söyledi.
“Son zamanlarda çok sayıda Android uygulamasında sabit kodlanmış Shopify anahtarlarının keşfedilmesi, sektördeki uygun API güvenliğinin eksikliğinin başka bir örneğidir. Bu tür bir güvenlik açığı, kullanıcıların kişisel bilgilerinin yanı sıra işlem ve sipariş ayrıntılarını potansiyel saldırganlara açık hale getirir. ” söz konusu Vishal SinghCloudSEK’te kıdemli güvenlik mühendisi.
Shopify, bireylerin ve işletmelerin ürünlerini satmak için bir çevrimiçi mağaza oluşturmasına olanak tanıyan bir e-ticaret platformudur.
Dünya çapında 175’ten fazla ülkeden 4,4 milyondan fazla web sitesi Shopify kullanıyor.
Bir çevrimiçi mağaza oluşturma kolaylığıyla, mağazaya ek işlevler eklemek için üçüncü taraf uygulamalarının ve eklentilerinin entegrasyonuna da izin verir. Shopify, fiziksel ve dijital ürünleri satmak için kullanılabilir ve aynı zamanda gerçek mekanda faaliyet gösteren mağazalar için bir satış noktası sistemi sunar.
“Bu durum, Shopify platformunun bir sınırlaması olmasa da, uygulama geliştiricileri tarafından sızdırılan API anahtarları/belirteçleri sorununu vurgulamaktadır. Sorumlu açıklamanın bir parçası olarak CloudSEK, Shopify’ı ve etkilenen uygulamaları sabit kodlanmış API anahtarları hakkında bilgilendirmiştir.” şirket.
Araştırmacılar, toplam sabit kodlanmış anahtarlardan en az 18 anahtarın müşteriye duyarlı verileri görüntülemeye izin verdiğini, 7 API anahtarının hediye kartlarını görüntülemeye/değiştirmeye izin verdiğini ve 6 API anahtarının bakiyeler ve ödemeler dahil olmak üzere ödeme hesabı bilgilerinin alınmasına izin verdiğini buldu.
Bu uygulamaların toplam indirilme sayısı 182.000’i aşsa da, etkilenen gerçek kullanıcı sayısı önemli ölçüde daha fazladır (40 lakh’ın üzerinde).
API, tehdit aktörlerinin belirli bir müşteri kimliği hakkında daha ayrıntılı hassas bilgileri görüntülemesine de izin verebilir.
Raporda, “Bu API uç noktasını kullanarak, kötü niyetli bir aktör, müşterilerin satın alma işlemleri için kullandığı kredi/banka kartı bilgileri gibi bankacılık işlem bilgilerine yetkisiz erişim elde edebilir.”
FacebooktwitterLinkedin