Een beveiligingslek in een plug-in die door honderden en mogelijk duizenden webwinkels wordt gebruikt maakte het mogelijk voor een aanvaller om de voor- en achternaam, aankopen en locatiegegevens van klanten te achterhalen. Het gaat om de plug-in Yopify, die op verschillende webwinkelplatformen zoals BigCommerce, WooCommerce, Shopify en LemonStand is te gebruiken.

De plug-in toont potentiële klanten elke paar seconden een pop-up met wat andere klanten hebben gekocht. Daarbij wordt de voornaam, beginletter van de achternaam en woonplaats van de andere klant vermeld, alsmede het aangeschafte product. Dit gebeurt allemaal zonder toestemming van gebruikers. Onderzoekers van beveiligingsbedrijf Rapid7 ontdekten dat mogelijk was om via de programmeerinterface (api) van de plug-in de gegevens van de laatste 50 klanten te downloaden.

Het ging daarbij ook om gegevens die niet in de pop-up zichtbaar waren, zoals volledige voor- en achternaam en locatiegegevens op stadsniveau. Een aanvaller zou dit elke paar uur kunnen doen om zo een database van klanten en gekochte producten aan te leggen. Yopify werd op 22 maart gewaarschuwd, maar er volgde geen reactie. Na meerdere pogingen om contact met het bedrijf te krijgen volgde pas op 18 mei een eerste reactie. Het bedrijf heeft nu een oplossing uitgerold, waarop Rapid7 de bevindingen openbaar maakte.