Feltörték a ShitExpress nevű oldalt, lelepleződtek az ügyfelek és az üzeneteik is

augusztus 13., szombat 12:02
12

Meghekkelték a Shitexpress-t - szúrta ki a bleepingcomputer.com.

„Egyszerű megoldás arra, ha egy darab szart küldenél a világon bárhova” - írja magáról a ShitExpress, ami egy webes szolgáltatás, ahol az ügyfelek valódi állati ürüléket vásárolhatnak és küldhetnek a világ bármely pontján található barátaiknak vagy ellenségeiknek.

A ShitExpress 4 lépésből álló vásárlási folyamata a következőkből áll:

  • Állati ürülék kiválasztása, pl.: bio, nedves lókaki.
  • Szállítási cím megadása
  • A csomagolás személyre szabása, pl.: egy mosolygós matricával.
  • A rendelés kifizetése

A fizetés történhet hitelkártyával vagy Bitcoin segítségével. A szolgáltatás teljes anonimitást ígér a vásárlóinak, még bankkártyás fizetés esetén is.

A ShitExpress-t azonban felkereste egy érdekes ügyfél - pompompurin, a Breached.co hackerfórum tulajdonosa, egy jól ismert hacker, aki korábban olyan cégektől lopott privát adatokat, mint a QuestionPro és a Mangatoon. A hacker korábban 7 millió Robinhood-ügyfél ellopott adatait is felrakta az internetre eladásra.

Egy pompompurin által írt fórumbejegyzés szerint a hacker nemrég a ShitExpress-t látogatta meg, hogy egy doboznyi kakit küldjön Vinny Troia kiberbiztonsági kutatónak. A hacker ennek során rájött, hogy a weboldalnak egyszerűen kihasználható sérülékenysége van, (SQL Injection) emiatt hozzá tudott férni a vásárlói üzenetekhez, e-mail címekhez és más, a vásárlói megrendelésekhez kapcsolódó privát adatokhoz. Végül ahelyett, hogy felelősségteljesen jelentette volna a sebezhetőséget, pompompurin végül kihasználta a hibát, és letöltötte a teljes adatbázist, de nem zsarolta meg az oldal tulajdonosait váltságdíjköveteléssel.

Az adatbázist aztán megosztották egy hackerfórumon, felfedve az ügyfelek által az ajándékokkal küldött dühös, olykor hisztérikus személyes üzeneteket.

Ezen a kedden pompompurin egy kis mintaadathalmazt is megosztott, ami a ShitExpress által üzemeltetett több adatbázis-tábla előnézetét tartalmazta.

Többek között ilyen üzenetek is voltak bennük:

„Láttam ma egy csótányt és rád gondoltam... Ráléptem”
„Ezzel az ajándékkal köszönöm meg a kemény munkádat, és jelképezi, hogy a csapatom mennyire nagyszerűnek tart téged. ÉLVEZD!”

A bleepingcomputer.com megkereste a ShitExpress-t a történtek miatt. A ShitExpress szóvivője azt nyilatkozta:

„Szokatlan tevékenységet észleltünk a szerverünkön 4 nappal ezelőtt és rájöttünk, hogy az egyik szkriptünk sebezhető az SQL injekcióval szemben. Ez tisztán a mi hibánk. Emberi hiba, ami bárkivel megtörténhet. Az egyik ügyfelünk találta meg. Azonnal kijavítottuk a hibát.”(via bleepingcomputer.com)

Kommentek

Ha kommentelnél, ahhoz Közösség vagy Belső Kör csomagra van szükséged. Ha csak olvasnád a többiek hozzászólásait, ahhoz nem kell előfizetés.

  1. Ha még nincs, regisztrálj 444 profilt
  2. Fizess elő a Közösség vagy a Belső kör csomagunkra
  3. Az előfizetésnél használt email címmel regisztrálj a Disqusra és azzal lépj be a cikkek alatt