भोपाल: 28 मार्च 2024। ई-कॉमर्स दिग्गज शॉपिफाई के एक प्लगइन डेवलपर द्वारा लापरवाही के कारण लाखों ऑर्डर्स सहित बड़ी मात्रा में संवेदनशील ग्राहक डेटा खतरनाक लोगों के सामने उजागर हो गया है।

21 फरवरी को, साइबरन्यूज़ अनुसंधान टीम ने सारा नामक एक यूएस-आधारित कंपनी द्वारा विकसित शॉपिफाई प्लगइन्स से संबंधित एक सार्वजनिक रूप से सुलभ MongoDB डेटाबेस की खोज की। सारा अपने प्लगइन्स को "एआई/एमएल-संचालित ई-कॉमर्स टेक्नोलॉजी सूट" के रूप में है।

लीक हुए डेटाबेस में 25GB डेटा था, जो 1,800 से अधिक शॉपिफाई स्टोर्स से प्लगइन्स द्वारा एकत्र किया गया था। इसमें संवेदनशील ग्राहक डेटा सहित 7.6 मिलियन से अधिक व्यक्तिगत ऑर्डर का डेटा शामिल था। उसी एंडपॉइंट में एक सार्वजनिक एपीआई भी था जिसका उपयोग उजागर डेटाबेस के बजाय किया जा सकता था।

डेटा आठ महीने तक खुला रहा और संभावित रूप से खतरनाक लोगों द्वारा उस तक पहुंच बनाई गई थी। डेटाबेस में एक फिरौती नोट भी था जिसमें बिटकॉइन में 0.01 (लगभग $640) की मांग की गई थी, अन्यथा डेटा सार्वजनिक रूप से जारी किया जाएगा।

साइबर सुरक्षा विशेषज्ञों ने चेतावनी दी है कि खराब सुरक्षित डेटाबेस और सर्वर को रैंसमवेयर बॉट्स द्वारा लक्षित किया जा रहा है जो डेटा को मिटा सकते हैं। सबसे अधिक संभावना है, सारा ने नोट पर ध्यान नहीं दिया, क्योंकि डेटाबेस खुला था।

कंपनी से जब संपर्क किया गया तो उन्होनें बताया कि डेटाबेस तक पहुंच सुरक्षित कर ली गई है। सारा के संस्थापक और सीईओ सचिन गर्ग ने बताया कि खुलासा की खबर मिलने पर, कंपनी की टीम ने "तुरंत डेटाबेस तक पहुंच को अवरुद्ध कर दिया।"

हालांकि, सीईओ ने दावा किया कि डेटाबेस पासवर्ड से सुरक्षित था और इसमें "कोई संवेदनशील जानकारी" नहीं थी।

तृतीय-पक्ष सेवाओं से सावधान रहें

यह लीक इस बात का स्पष्ट उदाहरण है कि जब भी आप अपना व्यक्तिगत डेटा ऑनलाइन जमा करते हैं, तो आप कभी भी आश्वस्त नहीं हो सकते कि इसे सुरक्षित रूप से संभाला जाएगा या नहीं। यह ई-कॉमर्स स्टोर के डेवलपर्स को अपने स्टोर में जोड़े गए किसी भी तीसरे पक्ष के प्लगइन का ऑडिट करने की भी याद दिलाता है, क्योंकि ये प्लगइन गंभीर सुरक्षा, गोपनीयता, कानूनी और वित्तीय जोखिमों के साथ आ सकते हैं।

लीक हुए डेटा में शामिल स्टोर:
Snitch
Bliss Club
Steve Madden
The Tribe Concepts
Mesmerize India
Scoboo.in
By Invite Only
Baesic World
Fitville
OneOne Swimwear
Binky Bro
Off Duty India

प्लगइन्स ने साइट पर उपयोगकर्ताओं द्वारा दर्ज की गई लगभग सभी जानकारी एकत्र की, जिसमें नाम, पते, ऑर्डर और भुगतान जानकारी जैसे संवेदनशील विवरण शामिल थे।

डेटा एन्क्रिप्शन या गुमनामीकरण व्यक्तिगत डेटा के संग्रह को कम करते हुए सेवा कार्यक्षमता को संरक्षित कर सकता था, जिससे संभावित डेटा लीक की गंभीरता कम हो सकती थी।