[Информационная безопасность] Троян в CS-Cart. Утечка счетов из 35'000 интернет-магазинов

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
23-Май-2021 20:30


TL;DR: Разрабы второго по популярности (по версии ratingruneta) интернет-магазина встроили в движок код, который делает копии всех счетов клиентов на сервер в Аризоне.Кто пострадалИнтернет-магазины и их клиенты, работающие на CS-Cart всех версий.Сама компания заявляет о 35'000 установок в 170 странах мира.Какая информация содержится в утечке
  • ФИО покупателя интернет-магазина
  • Адрес покупателя
  • Телефон покупателя
  • email покупателя
  • Сумма заказа, заказанные товары и услуги
  • Почтовые треки
ПодробностиС CMS можно познакомиться (и скачать демо) по двум адресам: https://www.cs-cart.ru/, https://www.cs-cart.com/.Последняя версия на сегодня 4.12.2.SP2, написана на PHP, ставится как всё, заточенное под LAMP, но нам для наших целей это не обязательно делать.Скачиваем, распоковываем и сразу идём смотреть ./app/Tygh/Pdf.php , где видим такой код для отрисовки счёта клиента в виде Pdf-файла:
<?php
...
protected static $url = 'http://converter.cart-services.com';
...
public static function render(...)
  {
  ...
  $response = Http::post(self::action('/pdf/render'), json_encode($params), array(
            'headers' => array(
                'Content-type: application/json',
                'Accept: application/pdf'
            ),
            'binary_transfer' => true,
            'write_to_file' => $file
        ));
...
protected static function action($action)
  {
    return self::$url . $action;
  }
где json_encode($params) содержит всю личную информацию, в т.ч. персональные данные покупателя, а Http::post(self::action('/pdf/render') после эвалюации превращается в Http::post("https://converter.cart-services.com/pdf/render") и все наши данные отправляются по ссылке выше, а уже в ответ из Аризоны (см. далее) приходит Pdf, который потом отправляется покупателю и/или используется для других целей системы.converter.cart-services.comЕсли погуглить этот адрес (converter.cart-services.com), то окажется, что первые обращения в форум поддержки датируются не позже 2018 года (вероятно, даже раньше, но администрация форума поддержки удаляет сообщения об этой проблеме), скорее всего с 2006 года, когда этот адрес был зарегестрирован.Сам сервер, где собираются счета находится в Аризоне, США:- Resolving "converter.cart-services.com"... 1 IP address found: 184.95.47.28 ┌PTR cs-cart.com
             ├ASN 20454 (SSASN2, US)
             ├ORG Servstra
             ├NET 184.95.32.0/19 (SERVSTRA)
             ├ABU -
             ├ROA ✓ UNKNOWN (no ROAs found)
             ├TYP  Proxy host   Hosting/DC
             ├GEO Phoenix, Arizona (US)
             └REP ✓ GOODВыводыКомпания-разработчик установила закладку, которая все заказы всех своих 35к клиентов, включая информацию о ФИО, емейлах, телефонах, адресах покупателей сливает куда-то в Аризону на сервер, который зарегистрирован уже 15 лет.Накопленная за, предположительно, 15 лет база - просто клондайк для разного рода преступников, мало того, что имеются персональные данные десятков тысяч (если не сотен тысяч) человек, так ещё есть информация, позволяющая оценить их финансовое состояние.Как это соотносится с законами о персональных данных (GDPR, № 152-ФЗ), думаю, объяснять не надо.Обращение на форум поддержки, кстати, заканчивается удалением топиков и открытым признанием, что такое поведение меняться не будет.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_cscart, #_gdpr, #_trojan (троян), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 28-Ноя 15:13
Часовой пояс: UTC + 5