Уязвимость в Shopify API раскрывала данные о выручке тысяч магазинов

Исследователь безопасности Аюб Фатхи (Ayoub Fathi) обнаружил в конечной точке Shopify API уязвимость, раскрывающую данные о трафике и выручке тысяч online-магазинов.

Услугами канадской компании Shopify пользуются порядка 800 тыс. продавцов в 175 странах мира. За последний год она настроила новый API, который и привлек внимание исследователя. Предполагается, что API должен использоваться исключительно для внутреннего извлечения статистических данных о продажах. Однако, как обнаружил Фатхи, система раскрывала данные о доходах двух неназванных магазинов Shopify, один из которых был удален с платформы.

В поисках IDOR-уязвимости (Direct Object Reference) исследователь создал новый магазин и использовал $storeName на той же конечной точке API, но получил лишь ошибку 404. Затем Фатхи решил провести массовую проверку всех существующих магазинов, чтобы выяснить, не просочится ли какая-нибудь информация о клиенте через API.

Исследователь создал скрипт, содержащий названия магазинов, и с его помощью отфильтровал уязвимые домены. Из тысячи магазинов уязвимыми оказались только четыре, один из которых был закрыт. Тем не менее, Фатхи копнул глубже и использовал базу данных с 813 684 записями. С помощью Bash-скрипта исследователь выявил магазины, раскрывающие данные о продажах продавцов Shopify, в том числе о ежемесячной выручке тысячи магазинов с 2015 года по сегодняшний день.

По мнению исследователя, уязвимость связана с приложением Shopify Exchange, выпущенным за несколько месяцев до ее обнаружения. Фатхи сообщил Shopify об уязвимости в октябре прошлого года, и вскоре она была исправлена.