在移动应用安全搜索引擎BeVigil周五发布的一份报告中发现，由于硬编码的Shopify秘钥给全球超过400万电子商务应用的用户带来了风险。 

作为一个电子商务平台，Shopify允许任何人创建商店，这样可以使他们能够在网上销售他们的产品，也允许企业这样做。并且预计到2023年底，Shopify将被超过440万个网站使用，它们分布在175个以上的国家。

研究人员称，攻击者有可能通过电子商务应用程序获取数百万安卓用户的敏感数据。

最近，CloudSEK BeVigil的一份报告显示，研究人员发现了21个电子商务应用程序中有22个硬编码的Shopify API密钥，这些密钥很可能会泄露大约400万用户的个人身份信息（PII），并且有可能会导致身份被盗。

API密钥一旦在代码中被硬编码，任何能够查看该代码的人，包括攻击者和未经授权的用户，都会看到该密钥。攻击者如果能够访问硬编码的密钥，那么就可以访问敏感数据。然后他们可以用它来窃取用户的商业数据。该公司在一份新闻稿中说，即使他们没有得到授权，他们仍然可以这样做。

关于信用卡的信息

研究人员说，基于他们在报告中进一步研究得出结论，22个硬编码密钥中至少有18个允许攻击者使用它们来查看客户的敏感数据。研究人员提供的第二份报告指出，有七个API密钥使得用户能够查看和修改礼品卡。此外，有六个API密钥允许威胁者窃取支付账户的相关信息。

程序收集大量的敏感数据，包括姓名、电子邮件地址、网站地址、国家、地址信息、电话号码和其他与店主有关的信息。该网站还使客户能够访问有关他们过去的订单和他们接收电子邮件的相关偏好信息。

关于支付账户的信息，威胁者可能会获取有关银行交易的细节，如客户用来购物的信用卡或借记卡。这些可以通过获取信用卡的BIN号码、卡的尾号、发卡公司的名称、浏览器的IP地址、卡上的名字、到期日期和其他敏感信息来获得。

据研究人员称，该商店使用的一个被泄露的API密钥提供了商店的认证细节。

研究人员还指出，这不是Shopify员工的错误，而是应用开发者向第三方泄露API密钥和令牌普遍出现的问题。 

像Shopify这样的电子商务平台使各种规模的企业都能够轻松地创建一个网上商店，进而在网上销售他们的产品。据估计，目前有超过400万个网站与Shopify进行了集成，这使得网上购物者能够进行在线支付。 

CloudSEK将他们的发现已经通知给了Shopify，但是，目前还没有收到Shopify的相关的回应。

参考及来源：https://www.cysecurity.news/2023/02/globally-over-4-million-shopify-users.html