Durch eine Sicherheitslücke in den von Saara entwickelten Shopify-Plugins wurden sensible Daten von fast 2.000 Online-Shops preisgegeben.
Dieser Datenbreach wurde vom Forschungsteam von Cybernews aufgedeckt. Die betroffenen Plugins wurden von dem US-amerikanischen Unternehmen Saara für die weitläufig genutzte Onlineshop-Software Shopify entwickelt, einem Schwergewicht im E-Commerce-Bereich. Zu den betroffenen Plugins gehören die Erweiterungen “EcoReturns” und “WyseMe”.
Der Umfang des Datenlecks
Bei den Untersuchungen stieß das Team auf eine öffentlich zugängliche MongoDB-Datenbank, die 25GB an sensiblen Kundendaten beherbergte. Diese Daten stammten von über 1.800 Shopify-Stores, die Saaras Plugins nutzten, und umfassten Informationen zu mehr als 7,6 Millionen einzelnen Bestellungen. Das Spektrum der geleakten Informationen war breit und reichte von Kundennamen, E-Mail-Adressen, Telefonnummern, Anschriften bis hin zu Details über bestellte Artikel, Tracking-Nummern und Links, IP-Adressen, User-Agents und teilweisen Zahlungsinformationen.
Die Daten waren über acht Monate hinweg ungeschützt zugänglich, was sie zu einem potenziellen Ziel für Cyberkriminelle machte. Zudem fand sich in der Datenbank eine Lösegeldforderung in Höhe von 0,01 Bitcoin (ungefähr 640 US-Dollar), ein Hinweis darauf, dass die Daten bereits ins Visier von Bedrohungsakteuren geraten waren.