- Consentik, um aplicativo de gestão de consentimento e consentimento de cookies para Shopify, mantinha dados confidenciais em um arquivo aberto
- O arquivo estava disponível por pelo menos 100 dias, se não mais
- Ele incluiu dados de análise de sites, tokens de acesso pessoal do Shopify e tokens de autenticação do Facebook
Um grande plug -in do Shopify, muito respeitável, estava vazando informações confidenciais por meses, expondo centenas de empresas de comércio eletrônico a todos os tipos de riscos, alertaram especialistas.
Pesquisadores de segurança de CyberNews avistou o vazamento e ajudou a conectar o buraco, tendo descoberto um servidor Kafka acessível ao público que estava mantendo dados confidenciais do Consentik.
O Consentik é um aplicativo de gerenciamento de consentimento e consentimento de cookies do Shopify, projetado para ajudar os proprietários de lojas a cumprir regulamentos de privacidade como GDPR, CCPA, LGPD e outros. A Intel encontrada neste servidor incluía dados de análise do site, tokens de acesso pessoal do Shopify e tokens de autenticação do Facebook.
Grave risco
Consentik foi construído por um desenvolvedor da web vietnamita Omegatheme, em 2018, e de acordo com dados de Storeleadso Banner de Cookies do Consentik GDPR está atualmente instalado em 4.180 lojas do Shopify, o que significa que havia muitas informações para colher.
O plug-in tem uma classificação de 4,9 estrelas e um crachá “feito para o Shopify”, apresentando-se como uma solução confiável e confiável para os comerciantes que desejam estar em conformidade com as leis globais de privacidade.
O relatório não indica quanta informação estava presente nos arquivos ou em quantos sites de comércio eletrônico foram expostos a riscos potenciais. No entanto, explicou que o risco era grave:
“Nas mãos erradas, um token do Shopify válido pode significar o controle total de uma loja, incluindo acesso aos dados do cliente, manipulação de preços, injeção de código maliciosa ou até mesmo substituindo fachadas de lojas inteiras por páginas de phishing parecidas”, disseram os pesquisadores.
“Os tokens do Facebook, enquanto isso, abriram outra porta em contas de meta anúncios conectadas, permitindo que os atacantes lançassem campanhas fraudulentas no centavo do comerciante”.
CyberNews‘Os pesquisadores não declararam se alguém conseguiu pegar esses arquivos no passado, mas disse que o arquivo estava disponível por pelo menos 100 dias antes de ser fechado no final de maio de 2025.
Via CyberNews