近日，Shopify旗下應(yīng)用Topdser被曝正在泄露客戶的隱私數(shù)據(jù)，包括用戶的信用卡數(shù)據(jù)和個人詳細(xì)信息，數(shù)千名購物者受影響。

Topdser是Shopify旗下的應(yīng)用程序，可支持Shopify賣家從AliExpress和1688導(dǎo)入商品并一鍵發(fā)布到Shopify商店中，降低成本的同時獲得3倍的運(yùn)輸速度。該應(yīng)用程序還支持自動化批量訂購，Shopify賣家可以在幾秒之內(nèi)利用AliExpress的官方接口無縫下單，最高可達(dá)300個訂單，訂單與訂單之間無需等待。

其實(shí)，早在2020年9月，Shopify也曾披露，兩名員工涉嫌竊取不到200家商戶的數(shù)據(jù)；

Shopify在其網(wǎng)站上的寫道：“我們的調(diào)查發(fā)現(xiàn)，我們的兩名‘流氓成員’參與了一項(xiàng)計(jì)劃，目的是獲取某些商家的客戶交易記錄。我們終止了這兩名員工對Shopify的訪問，并將該事件提交執(zhí)法部門處理。在使用Shopify平臺的約100萬商家中，只有不到200家商家受到了該事件的影響。

另外，據(jù)電商“打假”平臺Fakespot在今年20020年12月份分析，其調(diào)查的12萬余Shopify獨(dú)立站商家中，多達(dá)21%（2.6萬）的網(wǎng)站對消費(fèi)者構(gòu)成了欺詐風(fēng)險(xiǎn)。FakeSpot說，一些商店似乎只是收集了顧客的個人數(shù)據(jù)，卻無意交付實(shí)際產(chǎn)品。此外，F(xiàn)akeSpot還發(fā)現(xiàn)了包括品牌侵權(quán)和客戶服務(wù)極差在內(nèi)的其他問題。

另據(jù)媒體報(bào)道，Shopify平臺上約有39%的商家被描述為“問題賣家”，這些賣家存在品牌侵權(quán)風(fēng)險(xiǎn)或聲譽(yù)不佳等問題；還有約28%的商家可能為詐騙商店，存在隱私泄露或不發(fā)貨的可能

2019年也有報(bào)道稱，由于受到網(wǎng)絡(luò)黑客攻擊，Shopify數(shù)以千計(jì)的商戶收入和交易數(shù)量被泄露，遭受攻擊的API端點(diǎn)可以追溯到商家2015年的收入明細(xì)。一研究人員通過創(chuàng)建腳本測試了這個漏洞是否影響了平臺上的其他商戶，結(jié)果顯示，在該平臺的800,000家商店中，有12100家會被曝光，而在這個數(shù)字中，該研究人員可以獲得超過8700份商戶的銷售和交易數(shù)據(jù)。

上述研究人員稱，這個遭受攻擊的API端點(diǎn)是Shopify Exchange App，“任何安裝了Exchange App的商家都可能會受到攻擊”。

18年，白帽匯安全研究院發(fā)現(xiàn)hackerone最近公布了一個價值3000美金的XSS漏洞，其稱：

shopify允許開發(fā)者創(chuàng)建一個被稱為“銷售渠道”的特殊類型的應(yīng)用。并且還允許開發(fā)者上傳一個 16x16 的SVG格式的名為“導(dǎo)航標(biāo)志”的圖片（SVG是一種用XML定義的語言，用來描述二維矢量及矢量/柵格圖形）。出于安全原因，Shopify對這種SVG格式圖片中所能使用的元素和屬性做了限制。但由于一些未知原因，當(dāng)這個SVG格式圖片包含XML實(shí)體時，白名單就會失效，開發(fā)者從而可以往圖片插入某些惡意屬性，例如onload，來發(fā)動網(wǎng)絡(luò)攻擊。所以，最終導(dǎo)致開發(fā)人員可以上傳一個包含惡意代碼的SVG格式的圖片來發(fā)動XSS攻擊，受影響目標(biāo)包 >

這些事情不是shopify特有的，其實(shí)很多電商平臺都有類似的困擾，都不斷的在修復(fù)和完善，有些情況我們確實(shí)防不勝防，但還是有些事情是我們可以自查和預(yù)防的，之前在一篇博客里看到一篇文章，針對shopify賣家我們能做的事，分享給大家，地址如下：https://www.waimaob2c.com/shopify-backup.html

原文出自微信公眾號：shopify插件