3月27日消息，報道稱，Cybernews研究團隊于今年2月發(fā)現(xiàn)了一個可公開訪問的MongoDB數(shù)據(jù)庫，該數(shù)據(jù)庫屬于一家美國公司Saara，該公司正在開發(fā)Shopify插件。Saara工作人員將大量毫無戒心的購物者的敏感數(shù)據(jù)暴露給了威脅行為者，數(shù)百萬訂單被泄露。

據(jù)了解，目前確認受Saara泄漏影響的插件包括：Eco Return，用于AI驅(qū)動的退貨；WyseMe，獲取頂級購物者。Saara制作的其他插件包括：Eco Shipping，折扣運費；SalesGPT，和Al電子商務(wù)聊天機器人。

Shopify插件泄露近2000家商店數(shù)據(jù) 圖源：Cybernews

泄露的數(shù)據(jù)包括客戶名稱、電子郵件地址、電話號碼、地址、訂購物品的信息、訂單跟蹤號碼和鏈接、IP地址、用戶代理、部分付款信息。

泄露的數(shù)據(jù)庫存儲了25GB的數(shù)據(jù)，這些數(shù)據(jù)是由使用該公司插件的1800多家Shopify商店的插件收集的。它擁有760多萬份個人訂單的數(shù)據(jù)，包括敏感的客戶數(shù)據(jù)。同一端點還有一個公共API，可以用來代替公開的數(shù)據(jù)庫。

訂單分析條目顯示訂購項目、電子郵件地址 圖源：Cybernews

這些數(shù)據(jù)被搶注了8個月，很可能被威脅行為者獲取。該數(shù)據(jù)庫中有一封勒索信，要求支付0.01比特幣(約合640美元)，否則數(shù)據(jù)將被公開。網(wǎng)絡(luò)安全專家警告說，安全性差的數(shù)據(jù)庫和服務(wù)器正成為勒索軟件機器人的目標(biāo)，這些機器人可以清除數(shù)據(jù)。最有可能的是，Saara沒有注意到這張紙條，因為數(shù)據(jù)庫仍然是打開的。

對此，Saara創(chuàng)始人兼首席執(zhí)行官Sachin Garg表示，在收到這一披露后，公司團隊“立即封鎖了對數(shù)據(jù)庫的訪問”。然而，這位首席執(zhí)行官聲稱，該數(shù)據(jù)庫有密碼保護，不包含“任何敏感信息”。截至目前，Shopify尚未回應(yīng)。