嫌いな人や敵にメッセージを添えて糞尿の入った箱を送ることができるウェブサービス、ShitExpressが、脆弱性による不正アクセスで顧客情報をお漏らししました。
このデータベースはハッキングフォーラムで公開され、怒りに満ちた、時にはヒステリックな個人的メッセージが公開されたのです。
糞尿配送サービスがハッキングされる
ShitExpressは、本物の動物の糞を購入し、世界のどこにでもいる友人や恋人に届けることができる、いたずらなウェブサービスです。
あなたを最もイライラさせる人たちを想像してみてください。イライラする同僚。学校の先生。元妻。不潔な上司。嫉妬深い隣人。成功した元クラスメート。そして、嫌われ者たち......。
もし、あなたが彼らに臭いサプライズを送れるとしたら?箱を開けた後の受取人の表情は、何物にも代えがたいものです!
ShitExpressの4ステップの購入プロセスには、以下のようなものがあります。
- 動物の選択。例えば有機的で湿った馬のウンチなど。
- 配送先住所の入力
- パッケージのカスタマイズ(例:スマイリーステッカーなど
- 注文の支払い
支払いは、クレジットカードまたはビットコインで行うことができます。このサービスは、クレジットカードで支払う場合でも、利用者に匿名性の約束を謳っています。
しかし今回、ShitExpressは、過去にQuestionProやMangatoonといった企業から個人情報を盗んだことで知られるハッカー、pompompurinのアクセスを受けました。pompompurinは以前にも、700万人分のRobinhoodの顧客データをネット上で売りに出しています。
pompompurinは最近、ShitExpressを訪れ、サイバーセキュリティ研究者のVinny Troiaにウンコを送ったとのことです。
pompompurinを含むRaidForumsの元メンバーとTroiaは、研究者のハッカーコミュニティとの交流やThe Dark Overlordのレポートをめぐって、長年にわたって確執があるとされています。
この確執により、pompompurinはFBIのサーバーをハッキングし、2021年11月にVinny Troiaが行ったサイバー攻撃について偽のアラートを送信しています。
一時期、Troiaはchange.orgの嘆願書を立ち上げ、pompompurinを米国に送還するよう国際的な指導者に要請したこともありました。
最近、pompurinがTroiaに感謝の印を送るためにShitExpressを訪れたとき、このウェブサイトがSQLインジェクションに対して脆弱であることに気づき、顧客のメッセージ、電子メールアドレス、および顧客の注文に関連するその他の個人データにアクセスすることができました。
pompompurinは、ShitExpressがホストしている複数のデータベーステーブルのプレビューを含む小さなサンプルデータセットも共有しました。
注文に含まれるメッセージの一部を以下に示します。
サンプルデータセットには、他にもいくつかのメッセージが含まれています。
"I saw a cockroach today and thought of you... I stepped on it"
"This gift shows my thanks for your hard work, and is a symbol of how great my team thinks you are. ENJOY!"
"This gift shows my thanks for your hard work, and is a symbol of how great my team thinks you are. ENJOY!"
pompompurinは、顧客データベースが予想ほど大きくなかったことに驚いたと述べています。
「正直、そんなに大きくないんです...。データには約2万9000件の注文がある」とpompompurinは語った。
pompompurinはさらに、SQLインジェクションによってShitExpressを悪用したことを確認したが、サイトオーナーに身代金を要求することはしなかったという。
「私はそれをリークする前日にアクセス権を獲得し、データをダンプした後にウェブサイトの所有者に通知しました。彼らが今のところ認めたかどうかはわからない」と結論付けています。
ShitExpressはセキュリティに配慮しています。
ShitExpressの広報担当者は次のように語っています。
数日前、私たちのサーバーに異常な動きがあり、私たちのスクリプトの1つにSQLインジェクションの脆弱性があることが判明しました。これは、誰にでも起こりうるヒューマンエラーであり、純粋に私たちの責任です。これは、私たちの顧客の一人が発見したものです。私たちはすぐにこのエラーを修正しました。これは単なる悪ふざけサイトであることをご理解ください。身代金要求もありません。本当に何も起こりませんでした。ウェブサイト訪問者が私たちのサイトのフォームを使用すると、すべての詳細が私たちのデータベースに格納されます。それは、人々が友人にいたずらするため、ほとんどジャンクです -- 彼らはデータ+電子メールアドレスを入力し、出発します。その後、私たちは彼らに注文の支払いのための電子メールを送り、いたずらされた人は誰がそれをしたのか見つけようと、パニックになっています。私たちのサイトに書いてあるように、私たちは本当の身元を明かすことはありません -- 単に、私たちのウェブサイトのフォームに入力した人の個人情報を持っていないからです。もし誰かが暗号通貨で支払えば、それは明らかに非常に安全で匿名です。クレジットカードで支払う場合は、すべての情報が決済処理機関に残ります。単純なことです。
セキュリティ問題に迅速に対応し、データ侵害を透明性を持って自白するという点では、より多くの企業がShitExpressの様に行うべきです。
それ以前にこのサービス自体がクソです(笑)