Un plugin defectuoso de Shopify expone a cientos de sitios web a ataques invasivos.

Consentik, una aplicación de gestión de consentimiento de cookies para Shopify, mantuvo información sensible en un archivo abierto por un periodo de al menos 100 días. Este archivo, que fue accesible públicamente, contenía datos analíticos del sitio, así como tokens de acceso personal de Shopify y tokens de autenticación de Facebook.

Investigadores de seguridad de Cybernews detectaron esta filtración y colaboraron en su solución al descubrir un servidor de Kafka que almacenaba la información sensible de Consentik. Esta herramienta fue desarrollada en 2018 por un programador vietnamita, Omegatheme, y está diseñada para ayudar a los propietarios de tiendas a cumplir con regulaciones de privacidad como GDPR, CCPA y LGPD, entre otras. Según datos de Storeleads, el banner de cookies de Consentik está instalado en 4,180 tiendas Shopify, lo que sugiere que había una gran cantidad de información en riesgo.

Pese a tener una calificación de 4.9 estrellas y un distintivo "Made for Shopify", indicando un producto confiable, la situación es grave. Según los investigadores, “en manos equivocadas, un token válido de Shopify puede traducirse en control total de una tienda, incluyendo el acceso a datos de clientes, manipulación de precios, inyección de código malicioso o incluso la sustitución de vitrinas completas por páginas de phishing que imitan a la tienda real”.

Los tokens de Facebook también abrieron una puerta para acceder a cuentas publicitarias de Meta, permitiendo que atacantes iniciaran campañas fraudulenta utilizando los recursos del comerciante. Aunque Cybernews no especificó si alguien logró adquirir estos archivos en el pasado, confirmaron que el archivo estuvo disponible durante más de tres meses antes de ser cerrado a finales de mayo de 2025.