Bilinen bir tehdit aktörü, kötü şöhretli intikam web sitesi ShitExpress’i hackledi ve müşteri e-posta adresleri ve platform aracılığıyla gönderdikleri mesajlar da dahil olmak üzere şirketin güvenli verilerini sızdırdı.
ShitExpress, insanların posta yoluyla istedikleri kişiye gerçek dışkı göndermelerini sağlayan çevrimiçi bir hizmettir. İnsanların bir parça hayvan dışkısı satın alabilecekleri ve kişiselleştirilmiş bir mesajla birlikte bir kutuda birinin kapısına teslim ettirebilecekleri bir şaka sitesi olarak tasarlanmıştır.
Birinin hile yapan eski ortaklarına, korkunç eski patronlarına veya gürültücü komşularına bir parça hayvan gübresi ile birlikte göndereceği mesajların türünü hayal edebilirsiniz – bu nedenle bu sızıntı birçok müşteri için rahatsız edici olabilir.
SQL Enjeksiyon hatası
tarafından bildirildiği gibi BleeBilgisayar, “pompompurin” adlı bir kullanıcı, uzun süredir baş düşmanı siber güvenlik araştırmacısı Vinny Troia’ya bir kutu göndermek için siteyi ziyaret etti. Yayının bildirdiğine göre, ikisi bir süre önce birbirlerini şakalaştırıp taciz ederek geri döndüler.
Siteyi açtıktan sonra SQL Injection’a karşı savunmasız olduğunu fark etti ve kısa süre sonra Bay pompompurin e-posta adreslerini, müşteri mesajlarını ve diğer özel verileri gözden geçirmeye başladı. (yeni sekmede açılır) siparişlerle ilişkilidir.
Siteyi başarıyla ele geçirdikten bir gün sonra, bir bilgisayar korsanlığı forumunda veritabanını sızdırdı. Bununla ilgili yayına konuşan pompompurin, veritabanının şaşırtıcı derecede küçük olduğunu söyledi: “Dürüst olmak gerekirse o kadar büyük değil… Verilerde yaklaşık 29.000 sipariş var” dedi.
Ayrıca bunu fidye veya benzeri bir şey için yapmadığını söyledi. “Sızdırmadan bir gün önce erişim kazandım ve verileri boşalttıktan sonra web sitesi sahibine haber verdim. [I’m] Henüz onaylayıp onaylamadıklarından emin değilim,” diye onayladı.
Olaya yanıt olarak ShitExpress, ihlali kabul etti ve sorumluluğu üstlendi: “Bu tamamen bizim hatamız – herkesin başına gelebilecek bir insan hatası. Bir müşterimiz tarafından bulundu. Hatayı hemen düzelttik.”
Bu, neredeyse hiç müşteri verisi toplamayan bir şaka sitesi olduğundan, güvenliği ihlal edilmiş uç noktalardan sızdırılacak özel bir şey yoktu. (yeni sekmede açılır). Ödeme verileri, ödeme sağlayıcısına bırakıldı, bu da pompompurin’in asla almadığı anlamına geliyor.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)