دهلی نو: پس از کشف یک نقص امنیتی حیاتی توسط محققان امنیت سایبری در روز جمعه، بیش از 40 میلیون داده حساس کاربران تلفن همراه در معرض خطر هک قرار دارد. Shopify کلیدها/توکن های رابط برنامه نویسی کاربردی (API).
شرکت امنیت سایبری CloudSEKBeVigil، یک موتور جستجوی امنیتی برای برنامه های تلفن همراه، آسیب پذیری را کشف کرد که اطلاعات حساس بیش از 40 هزار مشتری تلفن همراه را در معرض خطر قرار می دهد.
از میلیون ها اندروید برنامههای کاربردی، 21 برنامه تجارت الکترونیکی شناسایی شدند که دارای 22 برنامه سخت کد شده بودند Shopify API کلیدها/توکن ها، اطلاعات قابل شناسایی شخصی (PII) را در معرض تهدیدات بالقوه قرار می دهند.
با کدگذاری سخت کلید API، کلید برای هر کسی که به کد دسترسی دارد، از جمله مهاجمان یا کاربران غیرمجاز، قابل مشاهده می شود.
به گفته محققان امنیتی، اگر مهاجم به کلید رمزگذاری شده دسترسی پیدا کند، می تواند از آن برای دسترسی به داده های حساس یا انجام اقداماتی از طرف برنامه استفاده کند، حتی اگر مجاز به انجام این کار نباشد.
“کشف اخیر کلیدهای رمزگذاری شده Shopify در برنامه های متعدد اندروید تنها نمونه دیگری از فقدان امنیت API مناسب در صنعت است. این نوع آسیب پذیری اطلاعات شخصی کاربران و همچنین جزئیات تراکنش و سفارش را در معرض مهاجمان بالقوه قرار می دهد. ویشال سینگ، مهندس ارشد امنیت در CloudSEK گفت.
Shopify یک پلت فرم تجارت الکترونیکی است که به افراد و مشاغل اجازه می دهد تا یک فروشگاه آنلاین برای فروش محصولات خود ایجاد کنند.
بیش از 4.4 میلیون وب سایت از بیش از 175 کشور در سراسر جهان از Shopify استفاده می کنند.
با سهولت ایجاد یک فروشگاه آنلاین، همچنین امکان ادغام برنامه ها و پلاگین های شخص ثالث را فراهم می کند تا عملکردهای بیشتری به فروشگاه اضافه کند. Shopify می تواند برای فروش محصولات فیزیکی و دیجیتالی استفاده شود و همچنین یک سیستم نقطه فروش برای فروشگاه های آجر و ملات ارائه می دهد.
گفت: “در حالی که این وضعیت محدودیتی برای پلتفرم Shopify نیست، اما مسئله کلیدها/توکن های API را که توسط توسعه دهندگان برنامه فاش می شود برجسته می کند. به عنوان بخشی از افشای مسئولانه، CloudSEK Shopify و برنامه های آسیب دیده را در مورد کلیدهای API کدگذاری شده مطلع کرده است.” شرکت.
محققان دریافتند که از کل کلیدهای رمزگذاری شده، حداقل 18 کلید امکان مشاهده داده های حساس به مشتری، 7 کلید API امکان مشاهده/تغییر کارت های هدیه و 6 کلید API امکان به دست آوردن اطلاعات حساب پرداخت، از جمله موجودی ها و پرداخت ها را فراهم می کند.
همچنین بخوانید
در حالی که تعداد کل دانلودهای این برنامه ها از 182 هزار نفر فراتر رفته است، تعداد واقعی کاربران تحت تأثیر به طور قابل توجهی بیشتر است (بیش از 40 میلیون).
API همچنین می تواند به عوامل تهدید اجازه دهد تا اطلاعات حساس تری را درباره شناسه مشتری خاص مشاهده کنند.
در این گزارش آمده است: «با استفاده از این نقطه پایانی API، یک بازیگر با نیت مخرب میتواند به اطلاعات تراکنشهای بانکی مانند جزئیات کارت اعتباری/دبیت که توسط مشتریان برای خرید استفاده میشود، دسترسی غیرمجاز داشته باشد.
فیس بوکتوییترلینکدین
