Сервис ShitExpress был взломан клиентом

Веб-сервис ShitExpress, который позволяет анонимно отправить ящик с фекалиями друзьям вместе с персонализированным сообщением, был взломан после того, как клиент обнаружил уязвимость.

Сайт ShitExpress посетил пользователь под именем «Pompompurin», владелец хакерского форума Breached.co и известный хакер, который в 2021 году выставил на продажу украденные данные 7 млн. клиентов Robinhood .

Pompompurin хотел отправить коробку какашек исследователю кибербезопасности Винни Тройе, которые находятся в давней вражде друг с другом из-за того, что Трой сообщил властям о некоторых хакерах форума RaidForums и разоблачил методы их работы в своей книге.

На сайте ShitExpress хакер понял, что веб-сайт уязвим для SQL-инъекции . Хакер смог получить доступ к сообщениям клиентов, адресам электронной почты и другим личным данным, связанным с заказами клиентов.

Хакер поделился набором образцов данных ShitExpress

Киберпреступник заявил, что в базе данных содержится около 29000 заказов. Pompompurin также подтвердил, что скомпрометировал ShitExpress с помощью SQL-инъекции, но не вымогал у владельцев сайта выкуп. Хакер уведомил владельцев сайта об уязвимости.

Представитель ShitExpress подтвердил наличие уязвимости и добавил, что ошибка уже исправлена. Также он заявил, что сайт не хранит личные данные пользователей, поскольку при заказе человек должен ввести только свое сообщение получателю и свою электронную почту, а также адрес доставки посылки и имя получателя. Кроме того, оплатить посылку можно криптовалютой, что является безопасным и анонимным способом.