Сайт, который позволяет отправлять какашки по почте, взломан
17 августа 2022 г.Известный злоумышленник взломал печально известный веб-сайт мести ShitExpress и слил защищенные данные компании, включая адреса электронной почты клиентов и сообщения, которые они отправляли через платформу.
ShitExpress – это онлайн-сервис. это позволяет людям отправлять настоящие фекалии по почте кому угодно. Он разработан как сайт для розыгрышей, где люди могут купить кусок фекалий животных и доставить его на чью-то дверь в коробке вместе с персонализированным сообщением.
Вы можете себе представить, какие сообщения кто-то отправил бы вместе с куском навоза своим бывшим партнерам-изменщикам, ужасному бывшему боссу или шумному соседу — поэтому эта утечка может беспокоить многих клиентов.< /p>
Недостаток SQL Injection
Как сообщает BleepingComputer, пользователь под ником "pompompurin" посетил сайт, чтобы отправить коробку своему давнему заклятому врагу, исследователю кибербезопасности Винни Тройе. По сообщению издания, эти двое давно уже разыгрывали друг друга и беспокоили друг друга.
Открыв сайт, он понял, что он уязвим для SQL-инъекций, и вскоре г-н Помпомпурин начал просеивать его. адреса электронной почты, сообщения клиентов и другие личные данные, связанные с заказами.
Через день после успешной компрометации сайта он слил базу данных на хакерский форум. Говоря об этом в издании, Помпомпурин сказал, что база данных была на удивление маленькой: «Честно говоря, она не такая уж большая… В данных содержится около 29 000 заказов», — сказал он.
> Взломанная база данных полиции Шанхая не позволила пользователям установить пароль Он также сказал, что делал это не ради выкупа или чего-то подобного. «Я получил доступ за день до того, как слил его, и я уведомил владельца веб-сайта после сброса данных. [Я] не уверен, подтвердили ли они или что-то еще», — подтвердил он. В ответ на инцидент ShitExpress признал нарушение и взял на себя ответственность, заявив: «Это исключительно наша вина - человеческая ошибка, которая может случиться с кем угодно. Ее обнаружил один из наших клиентов. Мы немедленно исправили ошибку. ». Поскольку это сайт-розыгрыш, который почти не собирает данные о клиентах, не было ничего особенного, что могло бы просочиться из взломанного конечные точки. Платежные данные были оставлены поставщику платежных услуг, то есть помпомпурин так и не получил их.
> Базы данных Elasticsearch сильно пострадали от атак с целью вымогательства
> Мы выбираем лучшие прокси-инструменты