С помощью SQL-инъекции пользователь получил доступ к базе данных десятков тысяч шутников.
Веб-сервис ShitExpress, который позволяет анонимно отправить ящик с фекалиями вместе с персонализированным сообщением, был взломан после того, как клиент обнаружил уязвимость.
Сайт ShitExpress посетил пользователь под именем «Pompompurin», владелец хакерского форума Breached.co и известный хакер, который в 2021 году выставил на продажу украденные данные 7 млн. клиентов Robinhood .
Pompompurin хотел отправить коробку какашек исследователю кибербезопасности Винни Тройе, которые находятся в давней вражде друг с другом из-за того, что Трой сообщил властям о некоторых хакерах форума RaidForums и разоблачил методы их работы в своей книге.
На сайте ShitExpress хакер понял, что веб-сайт уязвим для SQL-инъекции . Хакер смог получить доступ к сообщениям клиентов, адресам электронной почты и другим личным данным, связанным с заказами клиентов.
Хакер поделился набором образцов данных ShitExpress
Киберпреступник заявил, что в базе данных содержится около 29000 заказов. Pompompurin также подтвердил, что скомпрометировал ShitExpress с помощью SQL-инъекции, но не вымогал у владельцев сайта выкуп. Хакер уведомил владельцев сайта об уязвимости.
Представитель ShitExpress подтвердил наличие уязвимости и добавил, что ошибка уже исправлена. Также он заявил, что сайт не хранит личные данные пользователей, поскольку при заказе человек должен ввести только свое сообщение получателю и свою электронную почту, а также адрес доставки посылки и имя получателя. Кроме того, оплатить посылку можно криптовалютой, что является безопасным и анонимным способом.