Arkadaşlarınıza ve düşmanlarınıza kişiselleştirilmiş bir mesajla birlikte bir kutu dışkı göndermenizi sağlayan bir web hizmeti olan ShitExpress, bir “müşteri” bir güvenlik açığı tespit ettikten sonra ihlal edildi.
Bunun dışında, ilginç bir değişiklikle, güvenlik açığını sorumlu bir şekilde bildirmek yerine, bilinen bir tehdit aktörü olan müşteri, hatayı istismar etti ve tüm veritabanını indirdi.
Bu veri tabanı daha sonra bir bilgisayar korsanlığı forumunda paylaşılarak, müşteriler tarafından hediyelerle birlikte gönderilen öfkeli ve bazen histerik kişisel mesajlar açığa çıktı.
Kargo servisi hacklendi
ShitExpress, “Dünyanın dört bir yanına bir kutu içinde bir bok parçası göndermenin basit bir yolu”, müşterilerin gerçek hayvan dışkılarını satın alıp dünyanın herhangi bir yerindeki arkadaşlarına veya düşmanlarına teslim edebileceği bir şaka web hizmetinin ne olduğunu açıklıyor.
ShitExpress’in ana sayfasında, “Seni en çok sinirlendiren insanları bir düşün. Rahatsız edici bir meslektaş. Okul öğretmeni. Eski karın. Pis patron. Kıskanç komşu. O başarılı eski sınıf arkadaşı. Ya da tüm o sinir bozucu nefret edenler”.
“Ya onlara kokulu bir sürpriz gönderebilirseniz? Alıcının kutuyu açtıktan sonra yüzündeki ifadenin yerini tutabilecek hiçbir şey yok!”
ShitExpress’in 4 adımlı satın alma süreci şunları içerir:
- hayvan seçmek, ahem dışkı, örneğin organik, ıslak at kakası.
- Teslimat adresi sağlamak
- Ambalajın özelleştirilmesi, örneğin bir gülen yüz çıkartması ile
- Siparişiniz için ödeme
Ödemeler kredi kartı veya Bitcoin ile yapılabilir. Hizmet, müşterilerine kredi kartıyla ödeme yaparken bile tam bir anonimlik vaat ediyor.
Ancak bu sefer ShitExpress ilginç bir müşteri tarafından ziyaret edildi.bomba fedaisiBreached.co bilgisayar korsanlığı forumunun sahibi ve daha önce aşağıdaki gibi şirketlerden özel verileri çalan tanınmış bir bilgisayar korsanı SoruPro ve Mangatoonlar. Bilgisayar korsanı ayrıca daha önce çalınan verileri 7 milyon Robinhood müşterisi internetten satılık.
tarafından yazılan bir forum gönderisine göre bomba fedaisibilgisayar korsanı, siber güvenlik araştırmacısı Vinny Troia’ya bir kutu kaka göndermek için kısa süre önce ShitExpress’i ziyaret etti.
RaidForums’un eski üyeleri dahil bomba fedaisi (şimdi Breached.co’nun sahibi) ve Troia iddiaya göre araştırmacının hacker topluluğu ile etkileşimleri konusunda birbirleriyle uzun süredir devam eden bir kan davasında ve The Dark Overlord hakkında rapor.
Bu feudun yol açtığı ponponpuri FBI sunucularını hacklemek Kasım 2021’de “tehdit aktörü” Vinny Troia tarafından yürütülen siber saldırılar hakkında yanlış uyarılar göndermek.
Bir noktada, Troia alaycı bir şekilde fırlatıldı change.org dilekçesiuluslararası liderlerden iade etmelerini istiyor bomba fedaisi ABD’ye
Son zamanlarda, ne zaman bomba fedaisi Troia’ya bir teşekkür jetonu göndermek için ShitExpress’i ziyaret eden bilgisayar korsanı, web sitesinin güvenlik açığı olduğunu fark etti. SQL Enjeksiyonu.
Bilgisayar korsanı, müşteri mesajlarına, e-posta adreslerine ve müşteri siparişleriyle ilişkili diğer özel verilere erişebildi.
Bu Salıbir bobblehead ayrıca ShitExpress tarafından barındırılan birden çok veritabanı tablosunun bir önizlemesini içeren küçük bir örnek veri seti paylaştı.
Siparişlerde yer alan mesajlardan bazıları aşağıda gösterilmiştir. BleepingComputer, okuyucuların rahatsız edici bulabileceği aşırı açık ifadelerle mesajları yeniden düzenledi.
BleepingComputer tarafından görülen örnek veri kümesindeki diğer bazı mesajlar şunları içeriyordu:
“Bugün bir hamamböceği gördüm ve seni düşündüm… Üzerine bastım”
“Bu hediye, sıkı çalışmanız için teşekkürümü gösterir ve ekibimin sizin ne kadar harika olduğunuzu düşündüğünün bir sembolüdür. KEYFİNİ ÇIKARIN!”
Doğrulama için BleepingComputer tarafından yaklaşıldığında, bomba fedaisi müşteri veri tabanının bekledikleri kadar büyük olmamasına şaşırdıklarını belirtiyor.
“Dürüst olmak gerekirse o kadar büyük değil… Verilerde yaklaşık 29.000 sipariş var,” bomba fedaisi BleepingComputer’a söyledi. Hacker, Twitter’da web sitesinin 60.000 kullanıcısı olduğunu belirtti. Web sitesine kayıtlı her kullanıcı sipariş vermemiş görünüyor.
bomba fedaisi ShitExpress’i SQL Injection yoluyla kullandıklarını ancak site sahiplerini fidye talebiyle gasp etmediklerini daha da doğruladı.
“Sızdırmadan bir gün önce erişim kazandım ve verileri boşalttıktan sonra web sitesi sahibine haber verdim. [I’m] Henüz kabul edip etmediklerinden emin değilim,” diye tamamladı bilgisayar korsanı.
ShitExpress güvenlik hakkında bir bok verir
Forum gönderisinin gerçekliğini doğrulamak için ShitExpress’e ulaştık. Bir ShitExpress sözcüsü BleepingComputer’a şunları söyledi:
“4 gün önce sunucumuzda olağandışı bir etkinlik tespit ettik ve komut dosyalarımızdan birinin SQL enjeksiyonuna karşı savunmasız olduğunu öğrendik” Bu tamamen bizim hatamız — herkesin başına gelebilecek bir insan hatası. Bir müşterimiz tarafından bulundu. Hatayı hemen düzelttik.
Lütfen bunun basit bir şaka sitesi olduğunu anlayın. Fidye talebi yok. Gerçekten hiçbir şey olmadı.
Bir web sitesi ziyaretçisi sitemizdeki formu kullanırsa, tüm detaylar veritabanımızda saklanır. Çoğunlukla gereksiz çünkü insanlar arkadaşlarına şaka yapıyor — verilerini + e-posta adreslerini girip çıkıyorlar. Bundan sonra, siparişlerini ödemeleri için onlara e-posta gönderiyoruz ve şaka yapılan kişi bunu kimin yaptığını bulmaya çalışırken çıldırıyor.
Sitemizde belirtildiği gibi, gerçek kimliği asla ifşa etmiyoruz – çünkü web sitemizde formu dolduran kişilerin hiçbir kişisel bilgisine sahip değiliz. Birisi bir kripto para birimi ile ödeme yapıyorsa, açıkçası çok güvenli ve anonimdir. Kredi kartıyla ödeme yaparlarsa, tüm bilgiler ödeme işlemcisinde kalır. Bu kadar basit.”
Güvenlik sorunlarına anında yanıt verme ve veri ihlallerini şeffaf bir şekilde üstlenme söz konusu olduğunda, daha fazla şirket ShitExpress’in liderliğini takip etmelidir.
Ve dedikleri gibi, “Bu bok çok komik!”