La plateforme de commerce électronique Shopify nie avoir subi une violation de données après qu'un acteur malveillant a commencé à vendre des données clients qui, selon lui, ont été volées sur le réseau de l'entreprise.

« Les systèmes Shopify n'ont connu aucun incident de sécurité », a déclaré Shopify à BleepingComputer.

« La perte de données signalée a été causée par une application tierce. Le développeur de l'application a l'intention d'avertir les clients concernés. »

Cette déclaration intervient après qu'un acteur malveillant connu sous le nom de « 888 » a commencé à vendre des données plus tôt cette semaine qui, selon lui, ont été volées à Shopify en 2024.

L'acteur de la menace a partagé des échantillons de données comprenant l'identifiant Shopify d'une personne, son prénom, son nom, son adresse e-mail, son numéro de téléphone portable, le nombre de commandes, le total dépensé, l'abonnement par e-mail, la date d'abonnement par e-mail, l'abonnement par SMS et la date d'abonnement par SMS.

Shopify n'a pas répondu aux demandes supplémentaires d'informations supplémentaires sur l'application à partir de laquelle les données de ce client ont été volées.

L'acteur malveillant, 888, a déjà vendu ou divulgué des données prétendument liées à Credit Suisse, Shell, Heineken, Accenture India et Unicef.

En 2020, Shopify a révélé que deux « membres malveillants » de son équipe d'assistance accédé aux enregistrements transactionnels des clients d'environ deux cents marchands.