Shopify nega violazione e collega dati rubati ad app terze

La piattaforma di e-commerce Shopify nega di aver subito una violazione dei propri dati. Ciò è accaduto dopo che, di recente, un autore di minacce noto come “888” ha iniziato a vendere i dati degli utenti iscritti alla piattaforma, sostenendo di averli rubati dalla rete dell’azienda. Come riferito da un portavoce di Shopify al sito BleepingComputer: “I sistemi Shopify non hanno subito incidenti di sicurezza. La perdita di dati segnalata è stata causata da un’app di terze parti. Lo sviluppatore dell’app intende avvisare i clienti interessati“.

Shopify: la violazione del partner Evolve Bank and Trust

La violazione dei dati di Shopify dovrebbe contenere 179.873 righe di informazioni utente. Questi record presumibilmente includono ID Shopify, nome, cognome, e-mail, cellulare, conteggio ordini, totale spesa, iscrizioni e-mail, date di iscrizione e-mail, iscrizione SMS e date di iscrizione SMS. La violazione potrebbe essere stata causata da un recente incidente di violazione dei dati che ha avuto ripercussioni su Evolve Bank and Trust. Quest’ultimo è un partner di supporto di Shopify Balance, un’integrazione di gestione del denaro integrata nelle pagine di amministrazione dei negozi Shopify. Verso la fine di giugno, Evolve Bank ha confermato di essere stata colpita da un incidente di sicurezza informatica rivendicato da LockBit. La banca ha rivelato che i dati rubati includevano informazioni personali sensibili come nomi, numeri di previdenza sociale (SSN), date di nascita e dettagli del conto, tra gli altri dati.

Ad oggi Shopify non ha risposto ad altre richieste di ulteriori informazioni sull’app da cui sono stati rubati i dati dei clienti. L’autore della minaccia, 888, ha precedentemente venduto o fatto trapelare dati presumibilmente collegati a Credit SuisseShellHeinekenAccenture India e Unicef. Nel 2020, Shopify ha rivelato che due “membri canaglia” del suo team di supporto hanno avuto accesso ai record delle transazioni dei clienti di circa duecento negozi. L’azienda continuerà a negare la violazione o farà presto un nuovo comunicato per spiegare l’accaduto? Ad oggi non è dato saperlo.