Shopify, bir siber suçlunun iddia edilen Shopify müşteri bilgilerini çevrimiçi olarak yayınlamasının ardından sistemlerinin ihlal edildiği iddiasını reddetti.
Shopify, BleepingComputer ve diğer yayınlara olayın üçüncü bir şahıs tarafından gerçekleştiğini söyledi:
“Shopify sistemleri bir güvenlik olayı yaşamadı. Bildirilen veri kaybı üçüncü taraf bir uygulamadan kaynaklandı. Uygulama geliştiricisi etkilenen müşterileri bilgilendirmeyi amaçlıyor.”
Siber suçlunun “888” kullanıcı adıyla yaptığı paylaşımda, ihlalin 2024 yılında gerçekleştiği ve 179 bin 873 satır kullanıcı bilgisinin yer aldığı iddia ediliyor.
Satışa sunulan veriler şunları içerir:
- Shopify Kimliği
- İlk adı
- Soy isim
- E-posta adresi
- cep telefonu numarası
Ayrıca sipariş sayısı, toplam harcama, e-posta abonelik durumu, e-posta abonelik tarihi, SMS abonelik durumu ve SMS abonelik tarihi gibi Shopify’a özgü bazı veriler de yer alıyor.
Verilerin nereden geldiği iyi bir soru.
Mart ayında Cybernews, Shopify eklentileri geliştiren ABD merkezli bir şirket olan Saara’ya ait, herkesin erişebildiği bir MongoDB veritabanı hakkında bir haber yaptı. Sızdırılan veritabanı, 1.800’den fazla Shopify mağazasını kapsayan eklentilerden kaynaklanan 25 GB veriyi depoluyordu.
Haziran ayında, Evolve Bank & Trust’ı etkileyen ve aynı zamanda birkaç ortağını da etkileyen bir ihlal hakkında rapor vermiştik. Shopify, Evolve’un bir ortağıdır.
Şüphesiz bu hikayenin sonu değil. Sizi güncel tutacağız.
Veri ihlalinden sonra kendinizi koruma
Veri ihlalinin kurbanı olduysanız veya olduğunuzdan şüpheleniyorsanız alabileceğiniz bazı önlemler vardır.
- Satıcının tavsiyesini kontrol edin. Her ihlal farklıdır, bu nedenle ne olduğunu öğrenmek için satıcıyla görüşün ve sundukları özel tavsiyeleri izleyin.
- Şifreni değiştir. Çalınan bir parolayı değiştirerek hırsızlar için işe yaramaz hale getirebilirsiniz. Başka hiçbir şey için kullanmadığınız güçlü bir parola seçin. Daha da iyisi, bir parola yöneticisinin sizin için bir tane seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Eğer yapabiliyorsanız, ikinci faktörünüz olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. İki faktörlü kimlik doğrulamanın (2FA) bazı biçimleri, bir parola kadar kolay bir şekilde dolandırıcılık yoluyla ele geçirilebilir. FIDO2 cihazına dayanan 2FA dolandırıcılık yoluyla ele geçirilemez.
- Sahte satıcılara dikkat edin. Hırsızlar sizinle satıcı gibi davranarak iletişime geçebilir. Mağdurlarla iletişime geçip geçmediklerini görmek için satıcının web sitesini kontrol edin ve sizinle farklı bir iletişim kanalı kullanarak iletişime geçen herhangi birinin kimliğini doğrulayın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız kişileri veya markaları taklit eder ve teslimatların kaçırılması, hesapların askıya alınması ve güvenlik uyarıları gibi acil müdahale gerektiren temaları kullanır.
- Kart bilgilerinizi saklamamayı düşününSitelerin kart bilgilerinizi hatırlaması kesinlikle daha kullanışlıdır, ancak bu bilgileri web sitelerinde saklamamanızı şiddetle öneririz.
- Kimlik izlemeyi ayarlayın. Kimlik izleme, kişisel bilgilerinizin yasadışı olarak çevrimiçi ticaretinin yapıldığı tespit edilirse sizi uyarır ve sonrasında toparlanmanıza yardımcı olur.
Malwarebytes, kişisel verilerinizin ne kadarının çevrimiçi olarak ifşa edildiğini kontrol etmeniz için ücretsiz bir araca sahiptir. E-posta adresinizi (en sık kullandığınızı vermek en iyisidir) ücretsiz Dijital Ayak İzi taramamıza gönderin ve size bir rapor ve öneriler verelim.