Хакер #305. Многошаговые SQL-инъекции
Представители платформы для электронной коммерции Shopify, позволяющей пользователям создавать собственные интернет-магазины, сообщили, что в настоящее время, совместно с ФБР, расследуют поведение двух сотрудников службы поддержки, которые пытались получить доступ к деталям транзакций клиентов примерно в 200 интернет-магазинах.
Известно, что инсайдеры могли получить доступ к основной контактной информации пользователей (в том числе адресу электронной почты, имени и почтовому адресу), а также деталям заказов (в том числе данным о приобретенных продуктах и услугах). Номера платежных карт или другая конфиденциальная и финансовая информация пользователей не пострадала, так как сотрудники не имели к ней доступа.
В компании подчеркивают, что инцидент произошел не из-за какой-либо уязвимости в платформе, а лишь по вине недобропорядочных сотрудников. Сейчас эти люди уже не имеют доступа к сети Shopify и инструментам компании. Пока расследование случившегося находится на начальной стадии, но в Shopify обещают уведомить пострадавших владельцев магазинов и их пользователей, если это понадобится. Пока нет никаких доказательств того, что сотрудники успели как-то использовать похищенную информацию.