那些年Shopify数据泄露的事_从Topdser app泄露客户隐私数据说起

近日，Shopify旗下应用Topdser被曝正在泄露客户的隐私数据，包括用户的信用卡数据和个人详细信息，数千名购物者受影响。

Topdser是Shopify旗下的应用程序，可支持Shopify卖家从AliExpress和1688导入商品并一键发布到Shopify商店中，降低成本的同时获得3倍的运输速度。该应用程序还支持自动化批量订购，Shopify卖家可以在几秒之内利用AliExpress的官方接口无缝下单，最高可达300个订单，订单与订单之间无需等待。

其实，早在2020年9月，Shopify也曾披露，两名员工涉嫌窃取不到200家商户的数据；

Shopify在其网站上的写道：“我们的调查发现，我们的两名‘流氓成员’参与了一项计划，目的是获取某些商家的客户交易记录。我们终止了这两名员工对Shopify的访问，并将该事件提交执法部门处理。在使用Shopify平台的约100万商家中，只有不到200家商家受到了该事件的影响。

另外，据电商“打假”平台Fakespot在今年20020年12月份分析，其调查的12万余Shopify独立站商家中，多达21%（2.6万）的网站对消费者构成了欺诈风险。FakeSpot说，一些商店似乎只是收集了顾客的个人数据，却无意交付实际产品。此外，FakeSpot还发现了包括品牌侵权和客户服务极差在内的其他问题。

另据媒体报道，Shopify平台上约有39%的商家被描述为“问题卖家”，这些卖家存在品牌侵权风险或声誉不佳等问题；还有约28%的商家可能为诈骗商店，存在隐私泄露或不发货的可能

2019年也有报道称，由于受到网络黑客攻击，Shopify数以千计的商户收入和交易数量被泄露，遭受攻击的API端点可以追溯到商家2015年的收入明细。一研究人员通过创建脚本测试了这个漏洞是否影响了平台上的其他商户，结果显示，在该平台的800,000家商店中，有12100家会被曝光，而在这个数字中，该研究人员可以获得超过8700份商户的销售和交易数据。

上述研究人员称，这个遭受攻击的API端点是Shopify Exchange App，“任何安装了Exchange App的商家都可能会受到攻击”。

18年，白帽汇安全研究院发现hackerone最近公布了一个价值3000美金的XSS漏洞，其称：

shopify允许开发者创建一个被称为“销售渠道”的特殊类型的应用。并且还允许开发者上传一个 16x16 的SVG格式的名为“导航标志”的图片（SVG是一种用XML定义的语言，用来描述二维矢量及矢量/栅格图形）。出于安全原因，Shopify对这种SVG格式图片中所能使用的元素和属性做了限制。但由于一些未知原因，当这个SVG格式图片包含XML实体时，白名单就会失效，开发者从而可以往图片插入某些恶意属性，例如onload，来发动网络攻击。所以，最终导致开发人员可以上传一个包含恶意代码的SVG格式的图片来发动XSS攻击，受影响目标包 >

这些事情不是shopify特有的，其实很多电商平台都有类似的困扰，都不断的在修复和完善，有些情况我们确实防不胜防，但还是有些事情是我们可以自查和预防的，之前在一篇博客里看到一篇文章，针对shopify卖家我们能做的事，分享给大家，地址如下：https://www.waimaob2c.com/shopify-backup.html

原文出自微信公众号：shopify插件