3月29日消息，報道稱，Cybernews研究團隊于今年2月發現了一個可公開訪問的MongoDB數據庫，該數據庫屬于一家美國公司Saara，該公司正在開發Shopify插件。Saara工作人員將大量毫無戒心的購物者的敏感數據暴露給了威脅行為者，數百萬訂單被泄露。

　　據網經社跨境電商臺(CBEC.100EC.CN)獲悉，目前確認受Saara泄漏影響的插件包括：Eco Return，用于AI驅動的退貨;WyseMe，獲取頂級購物者。Saara制作的其他插件包括：Eco Shipping，折扣運費;SalesGPT，和Al電子商務聊天機器人。

　　泄露的數據包括客戶名稱、電子郵件地址、電話號碼、地址、訂購物品的信息、訂單跟蹤號碼和鏈接、IP地址、用戶代理、部分付款信息。泄露的數據庫存儲了25GB的數據，這些數據是由使用該公司插件的1800多家Shopify商店的插件收集的。它擁有760多萬份個人訂單的數據，包括敏感的客戶數據。同一端點還有一個公共API，可以用來代替公開的數據庫。

　　這些數據被搶注了8個月，很可能被威脅行為者獲取。該數據庫中有一封勒索信，要求支付0.01比特幣(約合640美元)，否則數據將被公開。網絡安全專家警告說，安全性差的數據庫和服務器正成為勒索軟件機器人的目標，這些機器人可以清除數據。最有可能的是，Saara沒有注意到這張紙條，因為數據庫仍然是打開的。

　　對此，Saara創始人兼首席執行官Sachin Garg表示，在收到這一披露后，公司團隊“立即封鎖了對數據庫的訪問”。然而，這位首席執行官聲稱，該數據庫有密碼保護，不包含“任何敏感信息”。截至目前，Shopify尚未回應。