Un conocido actor de amenazas se abrió paso en el notorio sitio web de venganza ShitExpress y filtró los datos seguros de la compañía, incluidas las direcciones de correo electrónico de los clientes y los mensajes que enviaron a través de la plataforma.
ShitExpress es un servicio en línea que permite a las personas enviar heces reales, a través del correo, a quien deseen. Está diseñado para ser un sitio de bromas, donde las personas pueden comprar un trozo de heces de animales y recibirlo en la puerta de alguien, en una caja, junto con un mensaje personalizado.
Puede imaginar el tipo de mensajes que alguien enviaría junto con un pedazo de estiércol animal a sus ex socios infieles, ex jefe horrible o vecino ruidoso; por lo tanto, esta filtración podría preocupar a muchos clientes.
Fallo de inyección SQL
Según lo informado por BleepingEquipo, un usuario con el nombre de «pompompurin» visitó el sitio para enviar una caja a su archienemigo de mucho tiempo, el investigador de seguridad cibernética, Vinny Troia. Los dos se remontan mucho tiempo atrás, bromeando y acosándose mutuamente durante bastante tiempo, informó la publicación.
Al abrir el sitio, se dio cuenta de que era vulnerable a la inyección de SQL, y pronto el Sr. pompompurin pronto estaba examinando las direcciones de correo electrónico, los mensajes de los clientes y otros datos privados. (se abre en una pestaña nueva) asociado a las órdenes.
Un día después de comprometer con éxito el sitio, filtró la base de datos en un foro de piratería. Hablando con la publicación al respecto, pompompurin dijo que la base de datos era sorprendentemente pequeña: «Honestamente, no es tan grande… Hay alrededor de 29,000 pedidos en los datos», dijo.
También dijo que no lo hizo por rescate ni nada por el estilo. «Obtuve acceso un día antes de filtrarlo y notifiqué al propietario del sitio web después de descargar los datos. [I’m] no estoy seguro de si lo han reconocido o algo hasta el momento», confirmó.
En respuesta al incidente, ShitExpress reconoció la infracción y asumió la responsabilidad, diciendo: «Es puramente nuestra culpa, un error humano que le puede pasar a cualquiera. Fue encontrado por uno de nuestros clientes. Solucionamos el error de inmediato».
Como este es un sitio de bromas, que no recopila casi ningún dato de los clientes, no había nada en particular que filtrar de los puntos finales comprometidos. (se abre en una pestaña nueva). Los datos de pago se dejaron con el proveedor de pagos, lo que significa que pompompurin nunca los recibió.
A través de: BleepingEquipo (se abre en una pestaña nueva)