Shopify合作应用被曝泄露用户隐私，近17000卖家受影响

近日，Shopify合作应用Topdser被曝正在泄露客户的隐私数据，包括用户的信用卡数据和个人详细信息，数千名购物者受影响。

据悉，数据泄露的根源尚不能100%确定下来，但是有相当多地证据表明Topdser是造成了此次信息泄露的原因。数据中嵌入的链接指向了Topdser的网站，而其他公司无法获得访问或创建这些链接的权限。

Topdser是Shopify的合作应用程序，可支持Shopify卖家从AliExpress和1688导入商品并一键发布到Shopify商店中，降低成本的同时获得3倍的运输速度；以及自动化批量订购，Shopify卖家可以在几秒之内利用AliExpress的官方接口无缝下单，最高可达300个订单，订单与订单之间无需等待。

（Topdser在Shopify应用商店的展示页面）

近1.7万Shopify卖家受影响

研究人员指出，有超过1.7万家Shopify商店的10万笔购买数据遭到泄露，暴露的数据总量高达13GB，而在Shodan搜索引擎上的数据总量也才95GB多一点。

与此同时，研究人员指出，刚发现的时候泄露的信息记录为1750万份，然而Shodan透露总共有2300万份记录被泄露，这意味着此次数据泄露可能影响了大约8万至10万名消费者。

VPNMentor分享出来的截图显示泄露的数据包括订单详细信息、信用卡和PII（个人身份信息）数据。

据hackread网站，VPNMentor早在2020年11月21日便发现了Shopify存在数据泄露的问题，并立即通知了Shopify，但Shopify并未对此事负责。

Topdser也接到了同样的提醒，VPNMentor建议其关闭漏洞并采取措施保护被暴露的数据。

涉事数据库已在2020年11月24日关闭，但这两家公司均为对此事做出回应或发布正式声明。而数据泄露可能会带来窃取或欺诈的隐患。

Shopify数据泄露事件时有发生

不久前Shopify还被曝出其安全漏洞泄露了加密货币硬件钱包提供商Ledger的用户信息，预计将使20000名分类账客户面临风险。

由于用户全名、家庭住址和电子邮件遭泄露，一些用户遭遇了不法分子的网络钓鱼，甚至有人报告了涉及死亡威胁的勒索案件。

此外，2020年9月22日，Shopify被曝出其两名员工窃取了大约200名商家的交易记录，但涉事员工在去年4月和6月就已经将数据泄露了出去，其中也包括Ledger客户的信息。

据悉，Shopify正与美国联邦调查局和其他国际执法机构合作调查这起事件，Ledger也已向法国数据保护机构报告了Shopify事件，并及时告知了涉及隐私泄露的用户事件进展。

看来以后Shopify还得在保护用户隐私上面多上点心，加强网络安全建设，避免此类事件的再次发生。