خب رفقا بذارین یه داستان واقعی و کمی ترسناک براتون تعریف کنم درباره یکی از معروفترین افزونههای شاپیفای که حسابی سوتی داده! (شاپیفای خودش یه پلتفرم فروشگاهساز آنلاین معروفه که کلی کسبوکار فروششون رو باهاش مدیریت میکنن.)
یه افزونه به اسم Consentik که کارش مدیریت کوکیها و گرفتن رضایت کاربراست، باعث شده اطلاعات حساس صدها فروشگاه آنلاین بره روی هوا! حالا داستان از این قراره:
یک گروه محقق امنیتی به اسم Cybernews فهمیدن که سرور Kafka این افزونه — یه سیستم پیامرسان معروف واسه سرور که معمولا دیتا رو تو خودش نگه میداره — کل دیتاها رو به صورت عمومی و باز نگه داشته بوده. یعنی هر کسی آدرس این سرور رو بلد باشه، میتونسته بره سر بزنه و یه عالمه اطلاعات مهم رو برداره!
شوکآورتر اینه که این آرشیو باز حداقل ۱۰۰ روز اونجا بوده و هیچ کسی هم نفهمیده! (منظورم اینه که شاید حتی مدت بیشتری هم لو رفته بوده.)
حالا داخل این آرشیو چی بوده؟ چیزای مهمی مثل دیتاهای آنالیتیکس فروشگاههای مختلف (یعنی آمار بازدید و رفتار مشتریها)، Shopify Personal Access Tokenها (این Token یه جور کلید ورود به پنل فروشگاهه که هرکسی داشته باشه انگار صاحب فروشگاهه!) و حتی Facebook Auth Tokenها (یا همون کلید ورود به حساب تبلیغات فیسبوک و اینستاگرام)!
افزونه Consentik رو یه شرکت ویتنامی به اسم Omegatheme ساخته بود و طبق آمار سایت Storeleads الان روی بیش از ۴۱۸۰ تا فروشگاه شاپیفای نصب بوده. حتی امتیازش هم تقریبا ۴.۹ از ۵ بوده و کلی هم نشان معتبر «ساختهشده برای شاپیفای» گرفته بوده. یعنی همه احساس امنیت میکردن و فکر میکردن بهترین آپ رو نصب کردن!
حالا چرا این ماجرا اینقدر خطرناکه؟ اگه همین Tokenهای شاپیفای توسط آدمای بد بیفته دستشون، میتونن هر بلایی سر فروشگاه و مشتریهاتون بیارن: مثلاً میتونن اطلاعات مشتریا رو بدزدن، قیمت محصولات رو دستکاری کنن، کدهای مخرب تو سایت بذارن، یا کل ظاهر فروشگاهت رو شبیه یه صفحه فیشینگ درست کنن که با حساب خریدارها بازی کنن! (فیشینگ یعنی تقلب و سوءاستفاده از ظاهر سایتهای واقعی برای گرفتن اطلاعات کاربر.)
حتی اون Facebook Tokenها هم میتونن واسه دزدی پول خرج تبلیغاتت استفاده بشن. فرض کن یک هکر با اون توکنها تبلیغ قلابی تو فیسبوک میسازه و هزینهاش مستقیم از حساب خودت کم میشه!
هنوز مشخص نیست واقعاً کسی قبل از رفع این باگ این آرشیو رو دیده و استفاده کرده یا نه، اما چیزی که واضحه اینه که این فایلها یه مدت طولانی جلوی چشم همه بودن (تا اواخر می ۲۰۲۵) تا بالاخره گزارش Cybernews ماجرا رو حل کرد.
نکته آموزشی آخر! حواستون باشه که حتی اگر یه افزونه خیلی پرستاره و معروف باشه، باز هم ممکنه همچین سوتیهایی بده. بهتره همیشه افزونهها و اپلیکیشنهای سایتتون رو مرتب آپدیت کنین و اخبار امنیتی رو جدی بگیرین. مثلاً استفاده از مدیر رمز عبور (Password Manager یعنی یه برنامه که رمزهای قوی و مختلف رو برات میسازه و ذخیره میکنه) یا اپلیکیشنهای تایید دو مرحلهای (Authenticator App یعنی برنامههایی که بعد از رمز، یه کد امنیتی واسه ورود میدن) میتونه کمک کنه.
خلاصه همیشه گوشبهزنگ اخبار امنیتی باشین و به هر افزونهای اطمینان نکنین، حتی اگر چهار تا نشان معتبر هم داشته باشه!
منبع: +
