Bilinen bir tehdit aktörü, kötü şöhretli intikam web sitesi ShitExpress’i hac’kledi ve müşterin e-posta adresleri ile platform aracılığıyla gönderdikleri mesajlar da dahil olmak üzere pek çok veriyi sızdırdı.
ShitExpress, insanların posta yoluyla istedikleri kişiye gerçek dışkı göndermelerini sağlayan çevrimiçi bir hizmet. İnsanların bir parça hayvan dışkısı satın alabilecekleri ve kişiselleştirilmiş bir mesajla birlikte bir kutuda birinin kapısına teslim ettirebilecekleri bir şaka sitesi olarak açıldı.
Birinin hile yapan eski ortaklarına, korkunç eski patronlarına veya gürültücü komşularına bir parça hayvan gübresi ile birlikte göndereceği mesajları hayal edebilirsiniz, bu nedenle bu sızıntı birçok müşteri için rahatsız edici görünüyor.
BleepingComputer tarafından bildirildiği üzere, “pompompurin” adlı bir kullanıcı, uzun süredir baş düşmanı siber güvenlik araştırmacısı Vinny Troia‘ya bir kutu göndermek için siteyi ziyaret etti. Yayının bildirdiğine göre, ikisi uzun bir süredir birbirleri ile karşılıklı şakalaşıp atışıyorlardı.
Siteyi açtıktan sonra, SQL Injection’a karşı savunmasız olduğunu fark etti ve pompompurin, çok geçmeden siparişlerle ilgili e-posta adreslerini, müşteri mesajlarını ve diğer özel verileri gözden geçirmeye başladı.
Siteyi başarıyla ele geçirdikten bir gün sonra, bir bilgisayar korsanlığı forumunda veritabanını sızdırdı. Bununla ilgili yayına konuşan pompompurin, veritabanının şaşırtıcı derecede küçük olduğunu söyledi: “Dürüst olmak gerekirse o kadar büyük değil… Verilerde yaklaşık 29.000 sipariş var” dedi.
Ayrıca bunu fidye veya benzeri bir şey için yapmadığını söyledi: “Sızdırmadan bir gün önce erişim sağladım ve verileri döktükten sonra web sitesi sahibine haber verdim. [Onların] kabul edip etmedikleri veya henüz herhangi bir şey olup olmadığından emin değilim.“
Olaya yanıt olarak ShitExpress, ihlali kabul etti ve sorumluluğu üstlendi: “Bu tamamen bizim hatamız – herkesin başına gelebilecek bir insan hatası. Bir müşterimiz tarafından bulundu. Hatayı hemen düzelttik.“
Kaynak: Chip