Meghekkelték a Shitexpress-t - szúrta ki a bleepingcomputer.com.
„Egyszerű megoldás arra, ha egy darab szart küldenél a világon bárhova” - írja magáról a ShitExpress, ami egy webes szolgáltatás, ahol az ügyfelek valódi állati ürüléket vásárolhatnak és küldhetnek a világ bármely pontján található barátaiknak vagy ellenségeiknek.
A ShitExpress 4 lépésből álló vásárlási folyamata a következőkből áll:
A fizetés történhet hitelkártyával vagy Bitcoin segítségével. A szolgáltatás teljes anonimitást ígér a vásárlóinak, még bankkártyás fizetés esetén is.
A ShitExpress-t azonban felkereste egy érdekes ügyfél - pompompurin, a Breached.co hackerfórum tulajdonosa, egy jól ismert hacker, aki korábban olyan cégektől lopott privát adatokat, mint a QuestionPro és a Mangatoon. A hacker korábban 7 millió Robinhood-ügyfél ellopott adatait is felrakta az internetre eladásra.
Egy pompompurin által írt fórumbejegyzés szerint a hacker nemrég a ShitExpress-t látogatta meg, hogy egy doboznyi kakit küldjön Vinny Troia kiberbiztonsági kutatónak. A hacker ennek során rájött, hogy a weboldalnak egyszerűen kihasználható sérülékenysége van, (SQL Injection) emiatt hozzá tudott férni a vásárlói üzenetekhez, e-mail címekhez és más, a vásárlói megrendelésekhez kapcsolódó privát adatokhoz. Végül ahelyett, hogy felelősségteljesen jelentette volna a sebezhetőséget, pompompurin végül kihasználta a hibát, és letöltötte a teljes adatbázist, de nem zsarolta meg az oldal tulajdonosait váltságdíjköveteléssel.
Az adatbázist aztán megosztották egy hackerfórumon, felfedve az ügyfelek által az ajándékokkal küldött dühös, olykor hisztérikus személyes üzeneteket.
Ezen a kedden pompompurin egy kis mintaadathalmazt is megosztott, ami a ShitExpress által üzemeltetett több adatbázis-tábla előnézetét tartalmazta.
Többek között ilyen üzenetek is voltak bennük:
„Láttam ma egy csótányt és rád gondoltam... Ráléptem”
„Ezzel az ajándékkal köszönöm meg a kemény munkádat, és jelképezi, hogy a csapatom mennyire nagyszerűnek tart téged. ÉLVEZD!”
A bleepingcomputer.com megkereste a ShitExpress-t a történtek miatt. A ShitExpress szóvivője azt nyilatkozta:
„Szokatlan tevékenységet észleltünk a szerverünkön 4 nappal ezelőtt és rájöttünk, hogy az egyik szkriptünk sebezhető az SQL injekcióval szemben. Ez tisztán a mi hibánk. Emberi hiba, ami bárkivel megtörténhet. Az egyik ügyfelünk találta meg. Azonnal kijavítottuk a hibát.”(via bleepingcomputer.com)
Kommentek
Közösségünk messze túlnyomó többségének jószándéka és minden moderációs igyekezetünk ellenére cikkeink alatt időről-időre a kollégáinkat durván sértő, bántó megjegyzések jelentek meg.
Hosszas mérlegelés és a lehetőségeink alapos vizsgálata után úgy döntöttünk, hogy a jövőben a közösségépítés más útjait támogatjuk, és a cikkek alatti kommentelés lehetőségét megszüntetjük. Közösség és Belső kör csomaggal rendelkező előfizetőinket továbbra is várjuk zárt Facebook csoportunkba, a Közértbe, ahol hozzászólhatnak a cikkeinkhez, és kérdezhetnek a szerzőinktől is.