匿名で人に「うんち」を送りつけられるサイトがハッキングされ利用客のデータが流出
誰かにメッセージを添えて動物のフンを送りつけることができるジョークサイトの「ShitExpress」が、不正アクセスを受けてデータが流出したことが報告されました。
Anonymous poop gifting site hacked, customers exposed
https://www.bleepingcomputer.com/news/security/anonymous-poop-gifting-site-hacked-customers-exposed/
しかし、ShitExpressは2022年8月9日に「pompompurin」という名前のハッカーから情報を盗まれてしまいました。そのことを報じたIT系ニュースサイトのBleepingComputerによると、pompompurinはハッキングフォーラム「Breached.co」の管理者で、以前にも投資アプリであるRobinhoodから700万人分の顧客データを窃取してインターネット上で販売したことがあるハッカーとのこと。
pompompurinはフォーラムに自ら投稿した書き込みにより、最近ShitExpressを訪問して、セキュリティ研究者であるVinny Troia氏に動物のフンを送りつけたことを明かしました。Troia氏はハッカー組織のThe Dark Overlordについて詳細なレポートを執筆したことがあり、pompompurinはそのことでTroia氏にうらみを持っているとされています。
ShitExpressで首尾よくTroia氏に嫌がらせをしたpompompurinは、ShitExpressにSQLインジェクションと呼ばれる脆弱(ぜいじゃく)性があることを発見し、これを悪用して他の顧客のメールアドレスや、そうした顧客らが送り先に添付したメッセージなどを盗み出しました。
以下は、pompompurinが盗み出したデータについてフォーラムで報告している投稿のスクリーンショットです。プライバシーにかかわる部分はBleepingComputerによって伏せられていますが、それ以外の部分を読むとShitExpressの利用者が「俺の○○の味はどうだった?お前は俺が俺の乱交写真を送る前に俺をブロックしたが……」「おめでとう、○○!あなたは本当にクソ野郎ですので、そのご褒美としてあなたの彫像を送ります」など、思い思いの罵倒を添付していることがうかがえます。
BleepingComputerからの接触を受けたpompompurinは、「ShitExpressから盗み出したデータは正直、そんなに大きくありませんでした。注文数は約2万9000件です」とコメントしています。
pompompurinはShitExpressから盗み出したデータをフォーラムで公開したものの、ShitExpressに身代金を要求したりはせず、代わりにShitExpressの所有者にハッキングについて連絡したとのこと。
ShitExpressの広報担当者は、取材に対して「少し前にサーバーで異常な動作が発見され、スクリプトの1つがSQLインジェクションに対して脆弱なことが判明しました。これを発見したのは、私たちの利用者の1人です。私たちはこのエラーをすぐに修正しました。このサイトは単なる悪ふざけサイトだということをご理解ください。身代金の要求もなく、本当に何も起きませんでした」と述べました。
フォーラムに利用者のメールアドレスなどが流出した以上、何も起きていないということはありませんが、記事作成時点ではShitExpressは何事もなかったかのように運営を続けています。