Shopify数据库泄露,超760万用户信息被公开
一、数据库泄露
在几乎透明的信息网络时代,用户数据安全的重要性不言而喻。一旦用户数据遭到泄露,负面影响也会接踵而至。
近日,在Shopify上就发生了这样一件事。由于Saara开发人员配置错误的MongoDB数据库,Shopify上使用Saara的EcoReturns和WyseMe插件的1800多家商店被暴露了25GB的数据。
Shopify用户数据被泄露 图源:sc media
在这个25GB的数据库中,主要包含了超过760万个个人订单的详细信息,比如客户姓名、送货地址、电子邮件和IP地址、电话号码、订购的商品信息、订单跟踪号码等。并且,该数据库还包含了一张勒索字条,要求支付0.01比特币(约640美元),否则数据将被公开发布。
据了解,这些数据在近8个月内一直处于暴露状态,被窃取的风险性极高。相关网络安全专家警告说,安全性较差的数据库和服务器正成为勒索软件机器人的目标,这些机器人可能会清除数据。
订单详细信息 图源:cybernews
不过Saara创始人兼首席执行官强调,在收到披露信息后,他们立即关闭了数据库的公开访问权限。并且,该数据库受密码保护,并不包含任何敏感信息。
Shopify方面则声称会审核插件的安全问题,但有人指出,他们的测试似乎不包括评估不安全的基础设施,而这会导致私人和敏感的客户数据遭受攻击。目前Shopify未对此质疑作出任何回复,但可以肯定的是,用户数据泄露对于电商平台来说是一件相当棘手的事。
二、数据泄露事件频发
伴随着近些年来电子商务的快速崛起,消费者网购的频率越来越高。每新增一笔订单,电商平台收集到的消费者个人信息数据便多了n项。
作为全球最大的电商平台,亚马逊一直相当重视保护用户数据隐私。但用户数据往往隐藏着巨大的利益,不少不法分子在窃取用户数据问题上费尽心机。
此前有报道称,国外一计算机安全小组发现了一个开放的服务器,服务器数据曝出大量涉及虚假评论的店铺和买家账号,其中包括身份、聊天记录、邮箱地址、亚马逊账户信息等1300多万条敏感信息,涉及人数高达20万人。
因虚假评价数据库被泄露 图源:page.one
很明显,此次数据泄露与卖家刷单有关。在这起数据泄露事件上,亚马逊也是下了狠手,直接封禁了多个大卖账号。值得一提的是,不仅是电商平台正加大力度保护用户数据安全问题,各市场的监管部门也越来越严。
去年5月,中国台湾数字事务部(MODA)就曾对未能保护用户个人数据的Shopee进行了200万新台币(约6500美元)的经济罚款。在这次罚款中,MODA表示Shopee无视一再提出的改善数据保护要求,例如平台未能证明采取了必要的用户数据保护措施。
Shopee被罚款 图源:台湾新闻
再比如,欧洲刑警组织在去年年底开展了为期两个月的执法行动。该行动在443家电商网站上发现存在恶意脚本攻击,如黑客将工具或恶意软件嵌入电商网站,拦截和窃取支付卡号、验证码、姓名和送货地址等数据,并将信息上传到攻击者控制的服务器。
一件件用户数据泄露事件,给电商平台和消费者敲响了警钟。于电商平台而言,平台在选择第三方服务商时应进行全面的插件审核,促进数据加密和匿名化处理;于消费者而言,大家若是接到不明电话,还需更加谨慎。
声明:
- 该内容为作者独立观点,不代表电商报观点或立场,文章为作者本人上传,版权归原作者所有,未经允许不得转载。
- 电商号平台仅提供信息存储服务,如发现文章、图片等侵权行为,侵权责任由作者本人承担。
- 如对本稿件有异议或投诉,请联系:info@dsb.cn
