Een beveiligingslek in webwinkelplug-in Yopify geeft aanvallers de kans om naam, voornaam en aankopen van klanten te verkrijgen. De plug-in wordt gebruikt door honderden websites.

De plug-in wordt op verschillende webwinkelplatformen gebruikt, zoals BigCommerce ,Shopify en LemonStand. Met de plug-in kunnen bezoekers van een bepaalde webwinkel zien welke artikelen door andere klanten werden gekocht. Daarbij wordt vaak ook de informatie van andere klanten genoemd.

Nu blijkt het echter mogelijk om via een API van de plug-in gebruikersdata te downloaden van de 50 klanten die voor het laatst producten hebben gekocht. Bij het aanvallen van de kwetsbaarheid in de API wordt daarnaast nog veel meer informatie verkregen dan de plug-in normaal gesproken laat zien, zoals locatiegegevens, voornaam en achternaam. 

Het beveiligingslek werd gevonden door Rapid7, die het lek door hebben gegeven aan Yopify.