Beaucoup d’entrepreneurs choisissent Shopify comme solution e-commerce, pour la tranquillité d’esprit, puisque l’éditeur offre une solution complète d’hébergement mais également de sécurité. Sauf qu’il faut être vigilant quand on y installe des plugins tiers, qui récupèrent les données de votre boutique pour fonctionner. Et c’est bien cela qui est à l’origine de cette fuite de données.
En effet, suite à une faille dans la base de donnée externe d’un éditeur de plugins Shopify, une quantité importante de données sensibles d’acheteurs a été exposée, ainsi que le détail de 7,5 millions de commandes qu’ils ont effectué.
L’origine de la faille : une base de donnée MongoDB non sécurisée
Le 21 février 2024 dernier, l’équipe de recherche de Cybernews a découvert une base de données MongoDB accessible au public, appartenant à une société basée aux États-Unis, Saara. Cette dernière a pour activité le développement de plugins Shopify. La société décrit ses plugins comme une « suite technologique e-commerce alimentée par l’IA/ML« .
Plsu de 1 800 boutiques Shopify utilisent les plugins concernés par cette fuite de données. Comment ces informations ont pu être accessibles ? Il faut savoir que le problème réside dans le fait que les données traitées par ces plugins transitaient par les serveurs de l’éditeur des plugins, de manière claire, sans processus rendant anonyme les informations. Ainsi, les informations comme les e-mails des acheteurs des boutiques Shopify étaient stockées sur le serveur du développeur.
Concrètement, cela signifie que toute boutique Shopify qui utilise ces plugins transmettent toutes les informations de votre boutique sur un serveur externe. L’analyse des données indique qu’on pouvait ainsi y voir le détail des commandes, et notamment les produits commandés ainsi que les adresses e-mail des clients. Les plugins confirmés comme étant affectés par la fuite comprennent EcoReturns et WyseMe. D’autres plugins développés par Saara sont par exemple EcoShip et SalesGPT. Rien n’indique à l’heure actuelle si ces deux autres plugins sont également concernés, mais les propriétaires de boutiques Shopify doivent rester vigilants sur la manière de fonctionner de ces extensions, et prendre conscience que les données ne sont pas anonymisées, présentant un risque de fuite.
Les données exposées : 25 Go d’informations personnelles (7,6 millions de commandes provenant de 1 800 boutiques Shopify)
La base de données qui a fuité contenait 25 Go de données collectées par les plugins, provenant de de plus de 1 800 boutiques Shopify. Elle incluait des données de plus de 7,6 millions de commandes individuelles, y compris des données clients sensibles comme les détails du paiement, les adresses et les numéros de téléphone.
Les détails des commandes comprenaient également des informations sur les moyens de paiement utilisés, les adresses, les noms, les numéros de téléphone, les articles commandés, les numéros de suivi et les liens, les adresses IP et les informations d’user-agent. Pour les informations du moyen de paiement, comme les codes des cartes bancaires, les boutiques e-commerce utilisent des tiers (comme Stripe, PayPal etc), donc les informations des cartes bancaires sont protégées et ne sont fort heureusement pas concernées.
Les risques pour les données exposées : comment protéger sa boutique ?
Les experts en cybersécurité mettent en garde contre le ciblage des bases de données et des serveurs mal sécurisés par des bots de rançongiciel. Après avoir contacté Saara, l’accès à la base de données a été sécurisé. Le fondateur et PDG de Saara a déclaré que la base de données était protégée par mot de passe et ne contenait « aucune information sensible ».
La fuite met en évidence l’importance de l’audit des plugins tiers, lorsque vous décidez de l’ajouter sur une boutique en ligne, et de vérifier que l’anonymisation des données est bien présente, pour réduire les risques de fuites.
Même si Shopify indique auditer les plugins pour les problèmes de sécurité, leurs tests ne semblent pas prendre en compte l’analyse de l’infrastructure des développeurs de plugins, qui peuvent laisser fuiter les données client. Cette faille de sécurité rappelle l’impératif de sécuriser les données des utilisateurs et souligne les risques associés à l’utilisation de plugins tiers dans les boutiques en ligne. Alors, avant d’installer un plugin sur votre boutique, demandez-vous s’il vous sera réellement utile, et si son utilisation ne présente aucun risque pour votre boutique, et si l’éditeur du plugin anonymise les informations collectées.
Source : https://cybernews.com/security/shopify-plugins-data-leak-saara/