Shopify ha subito un data breach e l’attaccante ha già pubblicato online i presunti dati che ha rubato ai suoi clienti. Vediamo nell’articolo i dettagli e di quali dati si tratta
Quali dati sono stati rubati?
Shopify, una delle piattaforme di e-commerce più note ed usate, ha subito un data breach.
L’attaccante, con lo pseudonimo “888”, sembra aver già pubblicato un annuncio in cui mette in vendita i dati in questione. Per testimoniare di averli effettivamente rubati, ne ha fatto trapelare un campione online. Sono dati collegati a Credit Suisse, Shell, Heineken, Accenture India e Unicef.
Tra i dati rubati troviamo:
- ID Shopify;
- Nome;
- Cognome;
- Indirizzo e-mail;
- Numero di cellulare.
Oltre a questi, sono presenti anche alcuni dati specifici di Shopify, come il numero di ordini, il totale speso, lo stato di iscrizione via e-mail, la data di iscrizione via e-mail, lo stato di iscrizione via SMS e la data di iscrizione via SMS.
L’autore della minaccia sostiene che la violazione è avvenuta nel 2024 e che contiene 179.873 files di dati degli utenti.
Per approfondire > Data breach alla Nato: esposti i dati di 362 membri
Shopify nega il data breach
Rappresentanti di Shopify, intervistati dalla redazione di Bleeping Computer, hanno dichiarato che l’azienda non ha subito alcun data breach: i dati proverrebbero da una violazione subita da un’app di terze parti. Non hanno risposto però alle richieste di informazioni sull’app da cui sarebbero stati rubati i dati dei clienti.
Shopify ha comunque reso pubblica la volontà di informare i clienti interessati dal data breach.
Per approfondire > Data breach a Dell: rubati i dati di circa 49 milioni di clienti
Per Shopify non è la prima volta
Nel 2020, due “membri disonesti” del team di assistenza di Shopify avevano avuto accesso allo storico delle transazioni dei clienti di circa duecento commercianti.
Nel mese di marzo poi, Cybernews ha riferito di un database MongoDB accessibile pubblicamente, appartenente a una società statunitense chiamata Saara, che sviluppa plugin per Shopify. Il database esposto conteneva 25 GB di dati provenienti da plugin che coprivano oltre 1.800 negozi Shopify.
Per finire, a giugno è avvenuta poi una violazione che ha colpito Evolve Bank & Trust e che ha interessato anche diversi suoi partner. Shopify è un partner di Evolve.
Per approfondire > Data Breach Investigations Report 2024: come minimizzare il rischio dovuto al fattore umano