在移動應用安全搜索引擎 BeVigil 周五發布的一份報告中發現，由于硬編碼的 Shopify 秘鑰給全球超過 400 萬電子商務應用的用戶帶來了風險。

【資料圖】

作為一個電子商務平臺，Shopify 允許任何人創建商店，這樣可以使他們能夠在網上銷售他們的產品，也允許企業這樣做。并且預計到 2023 年底，Shopify 將被超過 440 萬個網站使用，它們分布在 175 個以上的國家。

研究人員稱，攻擊者有可能通過電子商務應用程序獲取數百萬安卓用戶的敏感數據。

最近，CloudSEK BeVigil 的一份報告顯示，研究人員發現了 21 個電子商務應用程序中有 22 個硬編碼的 Shopify API 密鑰，這些密鑰很可能會泄露大約 400 萬用戶的個人身份信息（PII），并且有可能會導致身份被盜。

API 密鑰一旦在代碼中被硬編碼，任何能夠查看該代碼的人，包括攻擊者和未經授權的用戶，都會看到該密鑰。攻擊者如果能夠訪問硬編碼的密鑰，那么就可以訪問敏感數據。然后他們可以用它來竊取用戶的商業數據。該公司在一份新聞稿中說，即使他們沒有得到授權，他們仍然可以這樣做。

關于信用卡的信息

研究人員說，基于他們在報告中進一步研究得出結論，22 個硬編碼密鑰中至少有 18 個允許攻擊者使用它們來查看客戶的敏感數據。研究人員提供的第二份報告指出，有七個 API 密鑰使得用戶能夠查看和修改禮品卡。此外，有六個 API 密鑰允許威脅者竊取支付賬戶的相關信息。

程序收集大量的敏感數據，包括姓名、電子郵件地址、網站地址、國家、地址信息、電話號碼和其他與店主有關的信息。該網站還使客戶能夠訪問有關他們過去的訂單和他們接收電子郵件的相關偏好信息。

關于支付賬戶的信息，威脅者可能會獲取有關銀行交易的細節，如客戶用來購物的信用卡或借記卡。這些可以通過獲取信用卡的 BIN 號碼、卡的尾號、發卡公司的名稱、瀏覽器的 IP 地址、卡上的名字、到期日期和其他敏感信息來獲得。

據研究人員稱，該商店使用的一個被泄露的 API 密鑰提供了商店的認證細節。

研究人員還指出，這不是 Shopify 員工的錯誤，而是應用開發者向第三方泄露 API 密鑰和令牌普遍出現的問題。

像 Shopify 這樣的電子商務平臺使各種規模的企業都能夠輕松地創建一個網上商店，進而在網上銷售他們的產品。據估計，目前有超過 400 萬個網站與 Shopify 進行了集成，這使得網上購物者能夠進行在線支付。

CloudSEK 將他們的發現已經通知給了 Shopify，但是，目前還沒有收到 Shopify 的相關的回應。