Yeni Delhi: 40 lakh’tan fazla cep telefonu kullanıcısının hassas verileri, siber güvenlik araştırmacılarının Cuma günü kritik bir güvenlik açığını ortaya çıkardıktan sonra risk altında. Shopify uygulama programlama arabirimi (API) anahtarları/belirteçleri.
Siber güvenlik şirketi BulutSEKMobil uygulamalar için bir güvenlik arama motoru olan BeVigil, 40 binden fazla mobil müşterisinin hassas verilerini riske atan güvenlik açığını ortaya çıkardı.
Milyonlardan Android uygulamalar, 21 e-ticaret uygulamasının 22 sabit kodlu olduğu tespit edildi Shopify API’sı kişisel olarak tanımlanabilir bilgileri (PII) potansiyel tehditlere maruz bırakan anahtarlar/belirteçler.
API anahtarının kodlanmasıyla, anahtar, saldırganlar veya yetkisiz kullanıcılar da dahil olmak üzere, koda erişimi olan herkes tarafından görülebilir hale gelir.
Güvenlik araştırmacıları, bir saldırganın sabit kodlanmış anahtara erişim kazanması durumunda, bunu yapmaya yetkili olmasalar bile hassas verilere erişmek veya program adına eylemler gerçekleştirmek için kullanabileceğini söyledi.
“Son zamanlarda çok sayıda Android uygulamasında sabit kodlanmış Shopify anahtarlarının keşfedilmesi, sektördeki uygun API güvenliğinin eksikliğinin başka bir örneğidir. Bu tür bir güvenlik açığı, kullanıcıların kişisel bilgilerinin yanı sıra işlem ve sipariş ayrıntılarını potansiyel saldırganlara açık hale getirir. ” dedi CloudSEK’in kıdemli güvenlik mühendisi Vishal Singh.
Shopify, bireylerin ve işletmelerin ürünlerini satmak için bir çevrimiçi mağaza oluşturmasına olanak tanıyan bir e-ticaret platformudur.
Ayrıca Oku
Dünya çapında 175’ten fazla ülkeden 4,4 milyondan fazla web sitesi Shopify kullanıyor.
Bir çevrimiçi mağaza oluşturma kolaylığıyla, mağazaya ek işlevler eklemek için üçüncü taraf uygulamalarının ve eklentilerinin entegrasyonuna da izin verir. Shopify, fiziksel ve dijital ürünleri satmak için kullanılabilir ve aynı zamanda gerçek mekanda faaliyet gösteren mağazalar için bir satış noktası sistemi sunar.
“Bu durum, Shopify platformunun bir sınırlaması olmasa da, uygulama geliştiricileri tarafından sızdırılan API anahtarları/belirteçleri sorununu vurgulamaktadır. Sorumlu açıklamanın bir parçası olarak CloudSEK, Shopify’ı ve etkilenen uygulamaları sabit kodlanmış API anahtarları hakkında bilgilendirmiştir.” şirket.
Araştırmacılar, toplam sabit kodlanmış anahtarlardan en az 18 anahtarın müşteriye duyarlı verileri görüntülemeye izin verdiğini, 7 API anahtarının hediye kartlarını görüntülemeye/değiştirmeye izin verdiğini ve 6 API anahtarının bakiyeler ve ödemeler dahil olmak üzere ödeme hesabı bilgilerinin alınmasına izin verdiğini buldu.
Ayrıca Oku
Bu uygulamaların toplam indirilme sayısı 182.000’i aşsa da, etkilenen gerçek kullanıcı sayısı önemli ölçüde daha fazladır (40 lakh’ın üzerinde).
API, tehdit aktörlerinin belirli bir müşteri kimliği hakkında daha ayrıntılı hassas bilgileri görüntülemesine de izin verebilir.
Raporda, “Bu API uç noktasını kullanarak, kötü niyetli bir aktör, müşterilerin satın alma işlemleri için kullandığı kredi/banka kartı bilgileri gibi bankacılık işlem bilgilerine yetkisiz erişim elde edebilir.”
FacebooktwitterLinkedin