image

Privégegevens klanten Shitexpress gestolen door middel van SQL-injection

maandag 15 augustus 2022, 15:20 door Redactie, 3 reacties

Een aanvaller is erin geslaagd om door middel van SQL-injection de privégegevens van klanten van ShitExpress te stelen, een website die tegen betaling een doosje dierenpoep naar een opgegeven adres bezorgt. Het gaat om e-mailadressen, een persoonlijk bericht van de afzender en andere bestelgegevens. Het zou bij elkaar om data van 29.000 bestellingen gaan.

De klantendatabase was door middel van SQL-injection te downloaden. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren.

In een verklaring tegenover Bleeping Computer erkent de website dat een script kwetsbaar was voor SQL-injection. "Het is onze schuld, een menselijke fout die iedereen kan overkomen." Het probleem werd door een klant van de website gevonden en is inmiddels verholpen. De gelekte gegevens worden nu op internet aangeboden, maar bevatten geen betaalgegevens. Betalingen voor de website worden via een externe betaalverwerker verwerkt.

Image

Reacties (3)
15-08-2022, 16:15 door Anoniem
Wat slim om bij deze service de gegevens van de klanten bij te houden... Nu kan iedereen die zo'n pakketje heeft ontvangen gewoon te weten komen wie het heeft verstuurd.
15-08-2022, 17:18 door Anoniem
Door Anoniem: Wat slim om bij deze service de gegevens van de klanten bij te houden... Nu kan iedereen die zo'n pakketje heeft ontvangen gewoon te weten komen wie het heeft verstuurd.

Het is zeker slim als bedrijf om je aan de geldende regels van de belastingdienst te houden omtrent boekhouding .

Ook als de business poep is - keizer Vespasianus zei al (bij het invoeren van een belasting erop) - Pecunia non olet .
De huidige belastingdiensten hebben dezelfde mening .

Wat ook je business is, doe je dat niet dan kom je diep in de shit .
16-08-2022, 10:08 door Anoniem
SQL Injection, pas meer dan 20 jaar een probleem in IT land. De fout kan iedereen overkomen, dat klopt, maar dit soort fouten in productie brengen door het gebrek aan beveiligingscontroles is gewoon kwalijk. Een mooi voorbeeld dat de problemen in beveiligingsland de komende decennia ook nog niet verholpen zouden zijn. In geen velden of wegen enige trendbreuk te ontdekken. Tot die tijd kunnen de consultants flink geld blijven harken. De volgende beveiligingsonbekwame "programmeur" staat te popelen om dezelfde fouten in de praktijk te brengen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.