Dr Commodore
LIVE

Hacker scopre che la sicurezza di un sito dove comprare cacca non era il massimo

ShitExpress è un sito di cui è facilmente immaginabile il catalogo, composto per lo più da cacca, che sia di cavallo o di maiale o di qualche altro animale. L’ampia selezione di escrementi non è pensata per l’uso agricolo nelle fattorie, ma per degli scherzi o delle vendette, e i clienti possono ordinare e far spedire la cacca ai loro bersagli in modo completamente anonimo pagano sia con carte di credito sia in bitcoin.

O almeno, si pensava che il sito riuscisse a mantenere l’anonimato dei clienti. Il famoso hacker Pompupurin (che prende il nome dall’omonimo personaggio della Sanrio) ha infatti scoperto delle grosse falle nel sistema di sicurezza del sito proprio mentre cercava di ordinare della cacca da mandare per scherzo al suo storico rivale, il ricercatore di sicurezza nonché capo della Night Lion Security Vinny Troia, con il quale si trova al centro di un’accesa contesa (l’hacker ha pure violato i server dell’FBI fingendosi il suo rivale).

Grazie alle sue doti da hacker, appena entrato nel sito Pompupurin ha scoperto subito la sua grande falla di sicurezza, tanto da arrivare a trovare pure nomi e indirizzi e-mail dei clienti, oltre ai loro messaggi da accompagnamento alla scatola con la “sorpresa” per i bersagli del loro scherzo.

cacca

I dati sugli ordini della cacca presi da Pompupurin

L’hacker è riuscito a prelevare tutti i dati tramite un semplice attacco di tipo SQL Injection, ossia u attacco che utilizza il linguaggio SQL e permette all’utente di aggiungere delle stringhe di codice al server in modo che il sito o l’applicazione eseguano dei comandi SQL come l’alterazione dei dati o il download di tutti i contenuti di un database, come in questo caso.

Sul suo blog l’hacker ha raccontato questo suo nuovo colpo, e ha pure riportato anche alcuni dei messaggi scritti dagli utenti. Tra questi ci sono anche messaggi simpatici come: “Com’era il sapore della mia […]? Mi hai bloccato prima che ti mandassi delle foto della nostra orgia lmao…“, “Congratulazioni! Sei davvero un pezzo di […] umana! Come premio, ti inviamo una scultura che ti rappresenta” oppure “Mi ha ricordato del tuo tradimento“.

Pompupurin non ha richiesto alcun riscatto ma si è semplicemente limitato a informare i proprietari di ShitExpress, che hanno poi sistemato la falla. Successivamente, BleepingComputer ha dichiarato che nessun utente ora deve preoccuparsi della falla, visto che chi paga in criptovalute non deve dare nessun dato sensibile e che i pagamenti con bancomat o carta di credito passa dal gestore senza lasciare alcun dato sul sito.

Fonte: Wired.

Articoli correlati

Yoel Carlos Schincaglia

Yoel Carlos Schincaglia

Nato il 14 febbraio 1997. Mi piacciono molto gli anime e credo nella canzone che ho nel cuore.

Condividi