Araştırmacılar, milyonlarca Android e-ticaret uygulaması kullanıcısının hassas verilerine dolandırıcıların erişme riskiyle karşı karşıya olduğunu iddia etti.
CloudSEK’ten BeVigil’in yakın tarihli bir raporu, araştırmacıların, kabaca dört milyon kullanıcının kişisel olarak tanımlanabilir bilgilerini (PII) ifşa edebilecek 22 sabit kodlu Shopify API anahtarına/jetonuna sahip 21 e-ticaret uygulamasını ortaya çıkardığını söylüyor.
“API anahtarını kodlayarak, anahtar, saldırganlar veya yetkisiz kullanıcılar da dahil olmak üzere koda erişimi olan herkes tarafından görülebilir hale gelir. Bir saldırgan, sabit kodlanmış anahtara erişim kazanırsa, bunu yapmaya yetkili olmasalar bile, hassas verilere erişmek veya program adına eylemler gerçekleştirmek için kullanabilirler” dedi.
Kredi kartı verileri
22 sabit kodlu anahtardan en az 18’inin saldırganların müşterilere ait hassas verileri görüntülemesine izin verdiğini açıklayan araştırmacılar, 7 API anahtarının hediye kartlarını görüntülemeye ve değiştirmeye izin verdiğini ve 6 API anahtarının tehdit aktörlerinin ödeme hesabı bilgilerini çalmasına izin verdiğini sözlerine ekledi.
Hassas veriler, mağaza sahibinin adını, e-posta kimliğini, web sitesi adını, ülkesini, tam adresini, telefon numarasını ve daha fazlasını içerir. Müşterilerin geçmiş siparişlerinin yanı sıra e-posta pazarlama tercihleri de elde edilebilir.
Ödeme hesap bilgilerine gelince, tehdit aktörleri müşterilerin satın alma işlemleri için kullandıkları kredi ve banka kartı bilgileri gibi bankacılık işlem bilgilerine erişebilir. BIN numaraları, kredi kartı bitiş numaraları, kredi kartı şirket adları, tarayıcı IP’leri, kredi kartları üzerindeki adlar, son kullanma tarihleri ve diğer hassas veriler elde edilebilir.
Araştırmacılar, görüşlerini kanıtlamak için, açığa çıkan API anahtarlarından birini kullanarak kimlik doğrulamayla ilgili mağaza ayrıntılarını paylaştı.
Araştırmacılar ayrıca bunun Shopify’ın sonuyla ilgili bir gözetim olmadığını, uygulama geliştiricileri tarafından sızdırılan API anahtarları ve belirteçleriyle ilgili daha geniş bir sorun olduğunu vurguladılar.
Shopify, işletmelerin hızlı ve kolay bir şekilde çevrimiçi mağaza kurmasını sağlayan bir e-ticaret platformudur. Bugün dört milyondan fazla web sitesi, Shopify’ı çevrimiçi alışveriş deneyimlerine entegre ederek ziyaretçilerin hem fiziksel hem de dijital ürünler satın almasına olanak tanıyor.
Shopify, CloudSEK’in bulguları hakkında bilgilendirildi, ancak henüz yanıt vermedi.