This post is also available in:
English (אנגלית)
תוסף שנועד לסייע לבעלי חנויות Shopify לעמוד בדרישות חוקי פרטיות גלובליים חשף בטעות נתונים רגישים ממאות חנויות מקוונות, באופן שעלול לאפשר לתוקפים להשתלט על חשבונות ולגנוב מידע של לקוחות.
הבעיה נובעת ממימוש לא מאובטח של תוסף בשם Consentik, המשמש להצגת באנרי הסכמה לאיסוף קובצי עוגיות בהתאם לרגולציות כגון ה-GDPR. למרות דירוגים גבוהים ותו "Made for Shopify", התוסף נמצא מדליף בזמן אמת נתוני אנליטיקה פרטיים ופרטי גישה חסויים דרך שרת Kafka לא מאובטח.
חוקרי אבטחה מחברת Cybernews גילו כי במשך לפחות 100 ימים, שרת שתצורתו שגויה שידר מידע חסוי ברשת ללא כל הגנה. בין המידע שנחשף נכללו Shopify Personal Access Tokens – המספקים גישה אדמיניסטרטיבית מלאה לחנויות מקוונות, ואסימונים של פרסום בפייסבוק, המשמשים לניהול קמפיינים דרך פלטפורמות Meta.
לפי החוקרים, גורמים עוינים שיצליחו להשיג את האישורים הללו יכולים, לכאורה, לשנות רשומות מוצרים, לגנוב מידע אישי של לקוחות, להזריק קוד זדוני או להפוך את החנות כולה לעמוד פישינג. באמצעות אסימוני הפרסום, תוקפים יכולים להריץ קמפיינים מזויפים תוך שימוש בחשבון ובתקציב של הסוחר.
הדליפה עלולה לגרום לפגיעה חמורה באמון המשתמשים, בשימור הלקוחות ובתדמית המותג. עבור עסקים קטנים רבים שמסתמכים על Shopify, מדובר באירוע שעלול להיות הרסני. בנוסף, חשיפת המידע עלולה להביא להפרת חוקי הגנת מידע, במיוחד באזורים בהם האכיפה מחמירה – כמו האיחוד האירופי וקליפורניה.
השרת אובטח לבסוף ב-28 במאי 2025, למעלה מחודש לאחר גילוי הדליפה.
המקרה מדגיש את הסיכון שטמון בכלים חיצוניים בסביבת מסחר אלקטרוני. אמנם Shopify בודקת אפליקציות לפני שהן עולות לחנות, אך גם תוספים שנחשבים מהימנים עלולים ליצור פרצות – במיוחד כשחסרים אמצעי הגנה בסיסיים בתשתיות הבק-אנד. סוחרים המשתמשים בכלים חיצוניים לצרכי ציות רגולטורי צריכים לבדוק באופן קבוע את ההרשאות ולהשגיח על שילובים כדי לצמצם חשיפה.
בעידן שבו תוקפים מנצלים חולשות בפלטפורמות פופולריות, הממצאים הללו מדגישים את הצורך בערנות טכנית לצד שקיפות מלאה בכל הנוגע לאופן הטיפול בנתונים.
