Bilinen bir tehdit aktörü, berbat şöhretli intikam web sitesi ShitExpress’i hac’kledi ve müşterin e-posta adresleri ile platform aracılığıyla gönderdikleri iletiler da dahil olmak üzere pek çok datayı sızdırdı.
ShitExpress, insanların posta yoluyla istedikleri şahsa gerçek dışkı göndermelerini sağlayan çevrimiçi bir hizmet. İnsanların bir modül hayvan dışkısı satın alabilecekleri ve şahsileştirilmiş bir iletiyle birlikte bir kutuda birinin kapısına teslim ettirebilecekleri bir latife sitesi olarak açıldı.
Birinin hile yapan eski ortaklarına, fecî eski işverenlerine yahut gürültücü komşularına bir modül hayvan gübresi ile birlikte göndereceği bildirileri hayal edebilirsiniz, bu nedenle bu sızıntı birçok müşteri için rahatsız edici görünüyor.
BleepingComputer tarafından bildirildiği üzere, “pompompurin” isimli bir kullanıcı, uzun müddettir baş düşmanı siber güvenlik araştırmacısı Vinny Troia‘ya bir kutu göndermek için siteyi ziyaret etti. Yayının bildirdiğine nazaran, ikisi uzun bir müddettir birbirleri ile karşılıklı şakalaşıp atışıyorlardı.
Siteyi açtıktan sonra, SQL Injection’a karşı savunmasız olduğunu fark etti ve pompompurin, çok geçmeden siparişlerle ilgili e-posta adreslerini, müşteri bildirilerini ve öbür özel dataları gözden geçirmeye başladı.
Siteyi muvaffakiyetle ele geçirdikten bir gün sonra, bir bilgisayar korsanlığı forumunda veritabanını sızdırdı. Bununla ilgili yayına konuşan pompompurin, veritabanının şaşırtan derecede küçük olduğunu söyledi: “Dürüst olmak gerekirse o kadar büyük değil… Datalarda yaklaşık 29.000 sipariş var” dedi.
Ayrıca bunu fidye yahut gibisi bir şey için yapmadığını söyledi: “Sızdırmadan bir gün evvel erişim sağladım ve dataları döktükten sonra web sitesi sahibine haber verdim. [Onların] kabul edip etmedikleri yahut şimdi rastgele bir şey olup olmadığından emin değilim.“
Olaya karşılık olarak ShitExpress, ihlali kabul etti ve sorumluluğu üstlendi: “Bu büsbütün bizim yanılgımız – herkesin başına gelebilecek bir insan yanlışı. Bir müşterimiz tarafından bulundu. Yanılgıyı çabucak düzelttik.“