رادار تكنولوژي

سوتی عجیب افزونه Shopify: اطلاعات حساس کلی سایت لو رفت! چطور خودمون رو امن کنیم؟

  • ۲۵ تیر ۱۴۰۴

یه داستان عجیب بگم از دنیای فروشگاه‌های آنلاین! یه افزونه خیلی معروف و مورداعتماد برای Shopify به اسم Consentik کلی گاف داده بود که صدها فروشگاه اینترنتی رو تو دردسر انداخته بود. حالا قضیه چی بوده؟ بیا با هم کامل بازش کنیم و ببینیم چطور ما هم می‌تونیم مواظب خودمون باشیم.

اول بذار بگم اصلاً Shopify چیه: Shopify یه پلتفرم معروف فروشگاه‌ساز هست که همه‌جور فروشگاه اینترنتی از کوچیک تا بزرگ توش ساخته میشه. حالا افزونه‌هاش هم خیلی مهم هستن چون به سایت قابلیت‌های جدید اضافه می‌کنن.

موضوع این بود که افزونه Consentik که کارش مدیریت رضایت کوکی‌ها برای کاربرای سایت‌های Shopify هست (یعنی همون پنجره‌هایی که می‌پرسن “آیا با کوکی‌ها موافق هستید؟” که برای رعایت قانونی مثل GDPR و CCPA و LGPD لازمه، اینا همش اسم قانونای حفاظت از داده کاربرا تو کشورهای مختلفه)، یه عالمه اطلاعات حساس رو توی یه آرشیو باز رها کرده بود!

این Consentik رو یه برنامه‌نویس ویتنامی به اسم Omegatheme سال ۲۰۱۸ ساخته بود و طبق آماری که از یه جایی به اسم Storeleads گرفتن، این افزونه الان روی بیشتر از ۴۱۸۰ تا فروشگاه Shopify داره کار می‌کنه. یعنی اگه اتفاقی برا افزونه بیفته، حسابی دامنه درگیریش وسیعه.

حالا ببین اصلاً چه اطلاعاتی لو رفته بوده:

  • دیتاهای تحلیلی سایت (یعنی همون آمار بازدید و رفتار کاربرا)
  • Shopify Personal Access Token (یعنی یه جور رمز دسترسی خیلی مهم به خود داشبورد Shopify)
  • Facebook Auth Token (اینم رمز ورود به حساب فیسبوک یا همون بخش تبلیغات فیسبوک فروشگاه‌ها)

این اطلاعات توی یه سرور Kafka قرار داشته (Kafka در اصل یه سیستم پیام‌رسان و آرشیو داده مورداستفاده توی سرورهای بزرگه)، اما متاسفانه این سرور کاملاً عمومی و باز بوده و هر کسی می‌تونسته راحت بهش دسترسی پیدا کنه و اطلاعاتو دانلود کنه!

جالب اینجاست که این اشتباه امنیتی دست‌کم ۱۰۰ روز (یعنی بیشتر از ۳ ماه!) ادامه داشته، تا این که تا اواخر ماه می ۲۰۲۵ اون آرشیو رو بستن. حالا اینکه تو این مدت کسی این اطلاعات رو برداشته یا نه، دقیقاً معلوم نیست، ولی خب ریسک ماجرا خیلی شدید بوده.

متخصصای سایت Cybernews که ماجرا رو کشف کردن، گفتن اگه یکی از این Shopify Token ها دست همچین آدم بدی بیفته، واقعاً می‌تونه فروشگاه‌ها رو نابود کنه! مثلاً چی کار می‌تونه کنه؟

  • به کل دیتای مشتری‌ها دسترسی پیدا کنه
  • قیمت محصولات رو تغییر بده
  • کد مخرب تزریق کنه (یعنی ویروس یا هر خرابکاری دیجیتال)
  • یا حتی کل ظاهر سایتت رو عوض کنه و یه سایت تقلبی قلابی بذاره سر جاش برای فیشینگ

حالا Facebook Tokenها هم اگر دست هکر می‌افتاد، راحت می‌تونه می‌رفت سراغ حساب تبلیغات Meta فروشگاها و با پول فروشگاه‌ها انواع تبلیغات قلابی اجرا کنه!

این افزونه Consentik حتی امتیاز 4.9 از 5 تو فروشگاه افزونه‌های Shopify داشته و یه دونه نشان «مخصوص Shopify» هم گرفته بود که حسابی قابل اعتماد به نظر می‌رسیده، ولی این سوتی نشون داد که نباید صرف امتیاز و ظاهر خوب یه افزونه قضاوت کرد!

حالا شاید بپرسی راه‌حل چیه؟ چطوری مطمئن بشیم ما تو دردسر نیفتیم؟
۱. همیشه آخرین بروزرسانی افزونه‌هات رو نصب کن و در مورد مسائل امنیتی افزونه‌ای که استفاده می‌کنی تحقیق کن.
۲. اگر از Consentik یا هر افزونه مهم دیگه‌ای استفاده می‌کنی، حتماً اخبار مرتبط با ضعف امنیتیش رو دنبال کن.
۳. حتماً مجوزهای دسترسی (Tokenها و رمزها) رو هر چند وقت یک بار ریست کن و یا محدودیت دسترسی بذار.
۴. برای ورود و مدیریت حساب‌هات از یه برنامه مدیریت رمز عبور خوب یا Authenticator استفاده کن. (Authenticator یعنی برنامه‌ای که برای ورود دو مرحله‌ای به سایت‌ها کد یکبار مصرف می‌ده و امنیت رو چند برابر می‌کنه)

در آخر هم اگه برات جالبه بدونی جاهای دیگه هم همچین سوتی‌هایی داده بودن! مثلاً یه شرکت بزرگ تست API که اسمش APIsec هست، هم یه مدت اطلاعات مشتریهاش رو باز گذاشته بود. پس خیلی مهمه که همیشه از افزونه‌ها و ابزارهای امن و به‌روز استفاده کنی و حواست به اخبار و هشدارای امنیتی باشه تا خدایی نکرده یه روز سایتت هک نشه!

حواست باشه دنیای دیحیتال پر از سورپرایز و حمله‌های عجیب و غریبه، پس بهتره همیشه یه قدم از هکرها جلوتر باشی 😉

منبع: +