Arkadaşlara ve düşmanlara kişiselleştirilmiş bir mesajla birlikte bir kutu dışkı göndermenizi sağlayan bir web hizmeti olan ShitExpress, bir "müşteri" bir güvenlik açığı tespit ettikten sonra ihlal edildi.
Bilinen bir tehdit oyuncusu olan müşteri, güvenlik açığını sorumlu bir şekilde bildirmek yerine, ilginç bir bükülme dışında, hatayı kullanan ve tüm veritabanını indirmeye başladı.
Bu veritabanı daha sonra bir hack forumunda paylaşıldı, müşteriler tarafından hediyelerle gönderilen öfkeli ve bazen histerik kişisel mesajları ortaya çıkardı.
"Dünyanın dört bir yanındaki bir kutuya bir parça bok göndermenin basit bir yolu," ShitExpress, müşterilerin dünyanın herhangi bir yerinde bulunan arkadaşlara veya çılgınlıklara gerçek hayvan dışkılarını satın alabilecekleri ve teslim edebilecekleri bir şaka web hizmeti olduğunu açıklıyor.
"Sizi en çok rahatsız eden tüm insanları hayal edin. Tahriş edici bir meslektaşı. Okul öğretmeni. Eski karınız. Kıskanç patron. Kıskanç komşu. Bu başarılı eski sınıf arkadaşı. Ya da tüm bu sinir bozucu nefretçiler" diyor Shitexpress.
"Ya onlara kokulu bir sürpriz gönderebilirseniz? Kutuyu açtıktan sonra alıcının yüzündeki ifadenin yerini alabilecek hiçbir şey yok!"
ShiteExpress'in 4 adımlı satın alma işlemi şunları içerir:
Ödemeler kredi kartı veya bitcoin üzerinden yapılabilir. Hizmet, kredi kartı ile ödeme yaparken bile kullanıcılarına tam anonimlik vaat ediyor.
Ancak bu sefer ShiteExpress, ilginç bir müşteri tarafından ziyaret edildi-Breached.co Hacking forumunun sahibi Pompompurin ve daha önce Storpro ve Mangatoon gibi şirketlerden özel verileri çalmış tanınmış bir hacker. Hacker ayrıca daha önce çevrimiçi satış için 7 milyon Robinhood müşterisinin çalınan verilerini de koydu.
Pompompurin tarafından yazılan bir forum postasına göre, hacker kısa süre önce siber güvenlik araştırmacısı Vinny Troia'ya bir kutu kaka göndermek için ShitExpress'i ziyaret etti.
Pompompurin (şu anda Breached.co'ya sahip olan) ve Troia dahil olmak üzere eski Raidforums üyeleri, araştırmacının hacker topluluğuyla etkileşimleri ve Karanlık Overlord hakkında bir rapor üzerine birbirleriyle uzun süredir devam eden bir davada.
Bu kan davası, Pompompurin'in FBI sunucularını Kasım 2021'de "Tehdit Oyuncusu" Vinny Troia tarafından yürütülen siber saldırılar hakkında yanlış uyarılar göndermeleri için hacklemesine yol açtı.
Bir noktada Troia, Mawkishly bir Change.org dilekçesini bile başlattı ve uluslararası liderleri ABD'ye Pompompurin'i iade etmelerini istedi.
Son zamanlarda, Pompompurin Troia'ya bir takdir jetonu göndermek için ShitExpress'i ziyaret ettiğinde, hacker web sitesinin SQL enjeksiyonuna karşı savunmasız olduğunu fark etti.
Hacker, müşteri mesajlarına, e -posta adreslerine ve müşteri siparişleriyle ilişkili diğer özel verilere erişebildi.
Bu Salı günü, Pompompurin ayrıca ShiteExpress tarafından barındırılan birden fazla veritabanı tablosunun önizlemesini içeren küçük bir örnek veri seti paylaştı.
Siparişlerde yer alan mesajlardan bazıları aşağıda gösterilmiştir. BleepingComputer, okuyucuların rahatsız edici bulabileceği aşırı açık ifadelerle mesajları düzeltti.
BleepingComputer tarafından görülen örnek veri kümesindeki diğer bazı mesajlar şunları içerir:
Doğrulama için BleepingComputer tarafından yaklaşıldığında Pompompurin, müşteri veritabanının bekledikleri kadar büyük olmadığına şaşırdıklarını belirtiyor.
"Dürüst olmak gerekirse o kadar büyük değil ... Verilerde yaklaşık 29.000 sipariş var," dedi Pompompurin BleepingComputer'a.
Pompompurin ayrıca SQL enjeksiyonu yoluyla ShitExpress'ten sömürüldüğünü, ancak fidye talebi olan site sahiplerini zorlamadıklarını doğruladı.
Hacker, "Sızımdan bir gün önce bir gün önce erişim sağladım ve verileri terk ettikten sonra web sitesi sahibine bildirdim. [Henüz kabul edip etmediklerinden emin değilim," dedi.
Forum postasının gerçekliğini doğrulamak için ShitExpress'e ulaştık. Bir ShiteExpress sözcüsü BleepingComputer'a şunları söyledi:
"4 gün önce sunucumuzda bazı olağandışı etkinlikler gördük ve komut dosyalarımızdan birinin SQL enjeksiyonuna karşı savunmasız olduğunu öğrendik," bu tamamen bizim hatamız - herkese olabilecek bir insan hatası. Müşterilerimizden biri tarafından bulundu. Hatayı hemen düzelttik. Lütfen bunun basit bir şaka sitesi olduğunu anlayın. Fidye talebi yok. Gerçekten hiçbir şey olmadı. Bir web sitesi ziyaretçisi sitemizdeki formu kullanıyorsa, tüm ayrıntılar veritabanımızda saklanır. Çoğunlukla önemsiz çünkü insanlar arkadaşlarını şaka yapıyorlar - verileri + e -posta adreslerine giriyorlar ve ayrılıyorlar. Bundan sonra, siparişlerini ödemek için onlara e -posta gönderiyoruz ve şaka yapan kişi korkuyor ve bunu kimin yaptığını bulmaya çalışıyor. Sitemizde belirtildiği gibi, gerçek kimliği asla ortaya koymayız - çünkü web sitemizdeki formu dolduran kişiler hakkında kişisel bilgilerimiz yoktur. Birisi bir kripto para birimi ile ödeme yaparsa, çok güvenli ve anonimdir. Kredi kartıyla ödeme yaparlarsa, tüm bilgiler ödeme işlemcisiyle kalır. Bu kadar basit. "
Daha fazla şirket, güvenlik sorunlarına derhal yanıt verme ve şeffaf bir şekilde veri ihlallerine sahip olma söz konusu olduğunda ShitExpress'in liderliğini takip etmelidir.
Ve dedikleri gibi, "Bu bok komik!"
GÜNCELLEME 13 Ağustos 2022 09:55: Web sitesindeki kayıtlı kullanıcı sayısını temsil eden yanlış bir şekil kaldırıldı. Hatadan pişmanız.
Hacker, 1 milyar Çinli vatandaşta veri çaldığını iddia ediyor
Twilio: Veri ihlalinden etkilenen 125 müşteri, çalınan şifre yok
Twilio, çalışanlara yönelik SMS kimlik avı saldırısından sonra veri ihlalini açıklar
Twitter, 5.4 milyon hesaptan verilen verileri ortaya çıkarmak için kullanılan sıfır gününü onaylar
CNN-News18, Paytm Hack iddialarını reddetmek için saldırıya uğradığı iddia ediliyor
Kaynak: Bleeping Computer