Известный злоумышленник взломал печально известный сайт мести ShitExpress и слил защищенные данные компании, включая адреса электронной почты клиентов и сообщения, которые они отправляли через платформу.
ShitExpress — это онлайн-сервис, который позволяет людям отправлять настоящие фекалии по почте кому угодно. Он разработан как сайт розыгрыша, где люди могут купить кусок фекалий животных и доставить его на чью-то дверь в коробке вместе с персонализированным сообщением.
Вы можете себе представить, какие сообщения кто-то отправит вместе с куском навоза своим бывшим партнерам-изменщикам, ужасному бывшему боссу или шумному соседу — поэтому эта утечка может беспокоить многих клиентов.
Недостаток SQL-инъекций
Как сообщает BleepingКомпьютер, пользователь под ником «pompompurin» посетил сайт, чтобы отправить коробку своему давнему заклятому врагу, исследователю кибербезопасности Винни Тройе. По сообщению издания, они довольно давно разыгрывали друг друга и приставали друг к другу.
Открыв сайт, он понял, что он уязвим для SQL-инъекций, и вскоре г-н Помпомпурин начал просеивать адреса электронной почты, сообщения клиентов и другие личные данные. (откроется в новой вкладке) связанные с заказами.
Через день после успешной компрометации сайта он слил базу данных на хакерский форум. Говоря об этом в издании, Помпомпурин сказал, что база данных была на удивление маленькой: «Честно говоря, она не такая уж большая… В данных содержится около 29 000 заказов», — сказал он.
Он также сказал, что делал это не ради выкупа или чего-то подобного. «Я получил доступ за день до того, как слил его, и я уведомил владельца веб-сайта после сброса данных. [I’m] пока не уверен, что они признали или что-то еще», — подтвердил он.
В ответ на инцидент ShitExpress признал нарушение и взял на себя ответственность, заявив: «Это исключительно наша вина — человеческая ошибка, которая может случиться с кем угодно. Ее обнаружил один из наших клиентов. Мы немедленно исправили ошибку».
Поскольку это сайт-розыгрыш, который почти не собирает данные о клиентах, не было ничего особенного, что могло бы утечь из скомпрометированных конечных точек. (откроется в новой вкладке). Платежные данные остались у поставщика платежных услуг, а это означает, что помпомпурин так и не получил их.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
