ShitExpress: il database esposto in Rete a causa di una SQLi

TL;DR Il leak del portale shitexpress.com, dedicato all’invio di pacchi di cacca, potrebbe esporre i dati di centinaia di mittenti che, con la promessa dell’anonimato, avevano scaricato le proprie frustrazioni e rabbia contro gli ignari destinatari dei profumati cadeau.

Se vi siete avvalsi del servizio di spedizione cacca a domicilio offerto da shitexpress.com per far recapitare una maleodorante sorpresa a qualcuno che vi stava proprio antipatico, sappiate che, se non avete preso le opportune precauzioni, i vostri dati sono esposti in Rete in seguito a un data breach causato da una vulnerabilità di tipo SQL Injection scoperta da un hacker abbastanza noto nell’ambient: pompompurin.

La storia di come si è arrivati al curioso data breach è raccontata da bleepingcomputer e, in sostanza, tutto nasce dalla volontà di pompompurin di voler far recapitare un pacco di cacca al ricercatore di sicurezza Vinny Troia. Ma, si sa, la curiosità tipica degli hacker non può limitarsi al frontend e, così, viene scoperta una falla nel meccanismo del sito web che ha esposto, attraverso una SQL injection, l’intero database.

Per i non addetti ai lavori, semplificando, un attacco SQLi si verifica quando l’interazione tra l’interfaccia utente e il database non è adeguatamente protetta e, quindi, è possibile inviare i comandi direttamente al DBMS. Questo permette d’inviare comandi per esfiltrare tutti i dati dentro il database, compreso quelli che non dovrebbero essere visibili pubblicamente.

È così che i dati dei pacchi di cacca inviati sono stati pubblicati da pompompurin su un sito web piuttosto noto del settore, insieme a molte altre informazioni. Tra cui i messaggi lasciati da chi regalava una “giftcard” di cacca a qualche amico che ne avrebbe approfittato per qualche scherzetto di m…da (“Ariel, I know you have that special person in your life that is so deserving. A gift that keeps giving my friend. Enjoy the good feelings this will bring. Merry Christmas“).

Negli anni devono essere state fatte diverse modifiche alla piattaforma, come sembrano testimoniare delle tabelle non aggiornate da anni. Divertenti i messaggi della tabella che elenca le note allegate ai pacchi di cacca inviati (“Sending them poop since my sister never cleans her smelly cat box“), dove gli acquirenti arrabbiati hanno lasciato i loro sfoghi.

Non mancano acquirenti italiani, ovviamente, testimoniati da messaggi nella nostra lingua madre, alcuni decisamente ironici come “Che dire, dopo un po’ di mesi ti meriti il mio pensiero più bello.” mentre altri pieni di rabbia (“Tanti auguri di buon natale, mamma! Questo è un regalo per augurarti un nuovo anno pieno di merda, specialmente quella mattutina che ti rende migliore la giornata! La tua figlia stitica, momy“). Uno sembra provenire da un gruppo di dipendenti arrabbiati, come il messaggio allegato al pacco di escrementi dedicato a un “Presidente” di Olbia: “Con L’auspicio che Lei ci possa affogare, come intende farci affogare 1634 dipendenti con le loro famiglie. Cordialità.”.

Insomma, una discreta collezione di odio online che, con la promessa del massimo anonimato, ha scatenato la rabbia di centinaia di persone arrabbiate. Rabbia che, col senno del poi, potrebbe ritorcersi contro: i destinatari del simpatico cadeau potrebbero non aver gradito il pensiero e, in seguito a denuncia probabilmente contro ignoti, le forze dell’ordine avrebbero oggi qualche informazione in più per risalire all’ordinante.

La morale, quindi, è sempre la solita: l’anonimato in Rete non esiste o, quantomeno, non è facile da ottenere. Neppure sul lungo periodo.

Per concludere, quindi, l’ironica vicenda potrebbe trasformarsi, per qualcuno, davvero in mare di …cacca!

Questo articolo è stato visto 225 volte (Oggi 1 visite)

Hai imparato qualcosa di nuovo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.