Millones de usuarios de aplicaciones de comercio electrónico de Android corren el riesgo de que los delincuentes accedan a sus datos confidenciales, afirman los investigadores.
Un informe reciente de BeVigil de CloudSEK dice que los investigadores descubrieron 21 aplicaciones de comercio electrónico con 22 claves/tokens de API de Shopify codificadas que podrían exponer información de identificación personal (PII) de aproximadamente cuatro millones de usuarios.
“Al codificar la clave API, la clave se vuelve visible para cualquier persona que tenga acceso al código, incluidos los atacantes o usuarios no autorizados. Si un atacante obtiene acceso a la clave codificada, puede usarla para acceder a datos confidenciales o realizar acciones en nombre del programa, incluso si no está autorizado para hacerlo”, dijo la compañía en un comunicado de prensa.
Datos de la tarjeta de crédito
De las 22 claves codificadas, al menos 18 permiten a los atacantes ver datos confidenciales que pertenecen a los clientes, explicaron además los investigadores, y agregaron que 7 claves API permiten ver y modificar tarjetas de regalo y que 6 claves API permiten a los atacantes robar información de la cuenta de pago.
Los datos confidenciales incluyen el nombre del propietario de la tienda, la identificación del correo electrónico, el nombre del sitio web, el país, la dirección completa, el número de teléfono y más. También se pueden obtener los pedidos anteriores de los clientes, así como las preferencias de marketing por correo electrónico.
En cuanto a la información de la cuenta de pago, los actores de amenazas podrían acceder a la información de transacciones bancarias, como los detalles de la tarjeta de crédito y débito que los clientes usaron para comprar. Se pueden obtener números BIN, números finales de tarjetas de crédito, nombres de compañías de tarjetas de crédito, direcciones IP del navegador, nombres en las tarjetas de crédito, fechas de vencimiento y otros datos confidenciales.
Para probar su punto, los investigadores compartieron detalles de la tienda sobre la autenticación usando una de las claves API expuestas.
Los investigadores también enfatizaron que esto no es un descuido por parte de Shopify, sino más bien un problema más amplio de claves API y tokens que los desarrolladores de aplicaciones filtran.
Shopify es una plataforma de comercio electrónico que permite a las empresas configurar rápida y fácilmente una tienda en línea. Hoy, más de cuatro millones de sitios web han integrado Shopify en su experiencia de compra en línea, lo que permite a los visitantes comprar productos tanto físicos como digitales.
Shopify fue notificado de los hallazgos de CloudSEK, pero aún no ha respondido.