研究人員已發(fā)現(xiàn)Shopify API端點(diǎn)中的安全漏洞，可利用該漏洞泄漏數(shù)千家商店的收入和流量數(shù)據(jù)。應(yīng)用程序安全工程師和bug賞金獵人Ayoub Fathi本周在一篇媒體博客文章中披露了他的發(fā)現(xiàn)。Shopify占據(jù)了超過175個(gè)國(guó)家的80多萬(wàn)商戶，在過去一年中建立了一個(gè)新的API，這使得Fathi感興趣。此API旨在用于內(nèi)部獲取圖表演示的銷售數(shù)據(jù)，但發(fā)現(xiàn)系統(tǒng)泄漏了兩個(gè)未命名的Shopify商店的收入數(shù)據(jù)，其中一個(gè)已從平臺(tái)中刪除。

研究人員在同一API端點(diǎn)上設(shè)置了一個(gè)新商店并使用$ storeName來測(cè)試系統(tǒng)是否容易受到不安全直接對(duì)象引用(IDOR)錯(cuò)誤的攻擊。但是，這導(dǎo)致了404錯(cuò)誤。然后，F(xiàn)athi決定對(duì)所有現(xiàn)有商店進(jìn)行批量檢查，以查看是否有任何客戶信息會(huì)通過API泄漏。

構(gòu)建包含商店名稱的腳本，并且在針對(duì)端點(diǎn)迭代wordlist之后過濾掉易受攻擊的域。在1000家商店中，只有四家 - 其中一家已關(guān)閉 - 被證明是脆弱的。然而，研究人員使用更大的數(shù)據(jù)集深入挖掘，包含813,684條記錄，使用前向DNS。

然后使用Bash腳本對(duì)這些記錄進(jìn)行了進(jìn)一步的測(cè)試，結(jié)果列出了一個(gè)易受攻擊的商店列表，這些商店泄漏了“Shopify商家的銷售數(shù)據(jù)，其中包括從2015年到今天每月數(shù)千家商店的收入細(xì)分。”

“我們有一個(gè)易受攻擊的商店列表，所以如果我們查詢其中的任何一個(gè)，我們會(huì)得到當(dāng)前商店在其生命周期內(nèi)的美元月收入數(shù)據(jù)的細(xì)分，”研究人員補(bǔ)充說。

下圖是2015年至2019年期間一位店主收入的示例。

歐盟將從2019年1月開始為14個(gè)開源項(xiàng)目提供漏洞賞金計(jì)劃

“這在800,000家商店進(jìn)行了測(cè)試，其中有12,100家曝光，+ 8700家是我們能夠獲得銷售和交通數(shù)據(jù)的易受攻擊的商店，他們不應(yīng)該公開，預(yù)計(jì)3400將公布其銷售數(shù)據(jù)， “法蒂說。

根據(jù)這些調(diào)查結(jié)果，研究人員得出結(jié)論，泄漏是由Shopify Exchange應(yīng)用程序引起的，該應(yīng)用程序是在漏洞似乎出現(xiàn)前幾個(gè)月引入的。

犯罪分子如何使用黑暗網(wǎng)絡(luò)中的欺詐指南欺騙組織和個(gè)人

調(diào)查結(jié)果于2019年10月13日發(fā)送至Spotify。電子商務(wù)平臺(tái)在三天后確認(rèn)了調(diào)查結(jié)果，并在分類后的一小時(shí)內(nèi)解決了問題。然后Shopify要求提供更多信息，問題已于11月1日結(jié)束。

Shopify已經(jīng)解決了泄漏，但選擇不給予獎(jiǎng)勵(lì)賞金支付。該公司將政策違規(guī)列為原因。

在研究人員的探索中，他“與[他]創(chuàng)造的商店之外的商店互動(dòng)”，這違反了公司的錯(cuò)誤賞金規(guī)則。

在給Fathi的電子郵件中，Shopify說：

“雖然我們感謝您試圖證明所發(fā)現(xiàn)問題的影響，故意訪問其他商家的信息而不是立即向我們報(bào)告此信息是Shopify的重大關(guān)注。因此，此報(bào)告不會(huì)獲得錯(cuò)誤獎(jiǎng)勵(lì)。 “

研究人員認(rèn)為，考慮到確認(rèn)安全漏洞的合法性所花費(fèi)的時(shí)間，與不立即報(bào)告錯(cuò)誤有關(guān)的指控是不公平的。然而，F(xiàn)athi確實(shí)接受了他違反規(guī)則 - 但強(qiáng)調(diào)這是“最好的意圖來證明影響，避免在沒有任何工作證據(jù)的情況下發(fā)送理論報(bào)告”。

研究人員補(bǔ)充說：“如果我沒有按照我的方式進(jìn)行，我相信我無法用其他方式來證明這個(gè)特殊安全漏洞的存在。”“坦率地說，即使這份報(bào)告的結(jié)果也沒有達(dá)到預(yù)期，[...]這是我最后的錯(cuò)。”

更新16.29 BST：Shopify發(fā)言人告訴ZDNet：

“在Shopify，我們知道可靠的體驗(yàn)對(duì)我們平臺(tái)上的每個(gè)商家都至關(guān)重要，我們有全面的安全策略來支持這一點(diǎn)。我們的Bug Bounty計(jì)劃加強(qiáng)了這些努力，有助于確保我們?yōu)樯碳姨峁┳畎踩钠脚_(tái)。在驗(yàn)證報(bào)告后，我們的工程團(tuán)隊(duì)在一小時(shí)內(nèi)解決了這個(gè)問題。“