Сотрудники ИТ-компании воровали клиентские данные у заказчиков

24 сен 2020

Канадский разработчик Shopify подтвердил, что двое недобросовестных сотрудников похищали конфиденциальную информацию через API для заказчиков. Жертвами стали до 200 торговых предприятий, отмечает Techcrunch.

Shopify занимается разработкой ПО для розничной и онлайн-торговли. В сообщении на своем сайте компания сообщила о расследовании, в ходе которого установлено, что двое сотрудников службы техподдержки «участвовали в схеме получения записей о транзакциях клиентов определенных торговых компаний». К настоящему времени оба сотрудника уволены. Информация по делу передана в ФБР, сообщили в Shopify.

Предположительно, внутренние нарушители похитили такие данные, как имена, адреса и детализация заказов. Никакие финансовые сведения не были затронуты, уверены представители Shopify.

Один из заказчиков Shopify поделился с журналистами копией электронного уведомления, в котором говорится, что канадская компания-разработчик узнала об утечке информации 15 сентября и что сотрудники обращались к данным через API для заказчиков. С помощью этого интерфейса ритейлеры могут обрабатывать заказы. В этом электронном письме отмечается, что провинившиеся сотрудники, помимо персональных данных, получали доступ к четырем последним цифрам номеров банковских карт покупателей.

Shopify не говорит о том, сколько клиентских данных у продавцов оказалось скомпрометировано, но в электронном письме приводятся сведения об утекших записях по конкретным торговым компаниям. Так, в одном случае компания обрабатывала данные 1,3 млн покупателей, а злоумышленники из Shopify получили доступ к 4900 записям, то есть скомпрометированной оказалась личная информация примерно 0,4% клиентов ритейлера.

От комментариев изданию Techcrunch представители Shopify отказались.

Ранее американская служба доставки Instacart призналась, что сотрудники ее поставщика нелегитимно обратились к данным более 2000 покупателей.