[Информационная безопасность] Троян в CS-Cart. Утечка счетов из 35'000 интернет-магазинов
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
TL;DR: Разрабы второго по популярности (по версии ratingruneta) интернет-магазина встроили в движок код, который делает копии всех счетов клиентов на сервер в Аризоне.Кто пострадалИнтернет-магазины и их клиенты, работающие на CS-Cart всех версий.Сама компания заявляет о 35'000 установок в 170 странах мира.Какая информация содержится в утечке
- ФИО покупателя интернет-магазина
- Адрес покупателя
- Телефон покупателя
- email покупателя
- Сумма заказа, заказанные товары и услуги
- Почтовые треки
ПодробностиС CMS можно познакомиться (и скачать демо) по двум адресам: https://www.cs-cart.ru/, https://www.cs-cart.com/.Последняя версия на сегодня 4.12.2.SP2, написана на PHP, ставится как всё, заточенное под LAMP, но нам для наших целей это не обязательно делать.Скачиваем, распоковываем и сразу идём смотреть ./app/Tygh/Pdf.php , где видим такой код для отрисовки счёта клиента в виде Pdf-файла:
<?php
...
protected static $url = 'http://converter.cart-services.com';
...
public static function render(...)
{
...
$response = Http::post(self::action('/pdf/render'), json_encode($params), array(
'headers' => array(
'Content-type: application/json',
'Accept: application/pdf'
),
'binary_transfer' => true,
'write_to_file' => $file
));
...
protected static function action($action)
{
return self::$url . $action;
}
где json_encode($params) содержит всю личную информацию, в т.ч. персональные данные покупателя, а Http::post(self::action('/pdf/render') после эвалюации превращается в Http::post("https://converter.cart-services.com/pdf/render") и все наши данные отправляются по ссылке выше, а уже в ответ из Аризоны (см. далее) приходит Pdf, который потом отправляется покупателю и/или используется для других целей системы.converter.cart-services.comЕсли погуглить этот адрес (converter.cart-services.com), то окажется, что первые обращения в форум поддержки датируются не позже 2018 года (вероятно, даже раньше, но администрация форума поддержки удаляет сообщения об этой проблеме), скорее всего с 2006 года, когда этот адрес был зарегестрирован.Сам сервер, где собираются счета находится в Аризоне, США:- Resolving "converter.cart-services.com"... 1 IP address found: 184.95.47.28 ┌PTR cs-cart.com
├ASN 20454 (SSASN2, US)
├ORG Servstra
├NET 184.95.32.0/19 (SERVSTRA)
├ABU -
├ROA ✓ UNKNOWN (no ROAs found)
├TYP Proxy host Hosting/DC
├GEO Phoenix, Arizona (US)
└REP ✓ GOODВыводыКомпания-разработчик установила закладку, которая все заказы всех своих 35к клиентов, включая информацию о ФИО, емейлах, телефонах, адресах покупателей сливает куда-то в Аризону на сервер, который зарегистрирован уже 15 лет.Накопленная за, предположительно, 15 лет база - просто клондайк для разного рода преступников, мало того, что имеются персональные данные десятков тысяч (если не сотен тысяч) человек, так ещё есть информация, позволяющая оценить их финансовое состояние.Как это соотносится с законами о персональных данных (GDPR, № 152-ФЗ), думаю, объяснять не надо.Обращение на форум поддержки, кстати, заканчивается удалением топиков и открытым признанием, что такое поведение меняться не будет.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Старое железо, Транспорт] Pen Test Partners взломала развлекательную систему «Боинга-747»
- [Информационная безопасность, Сетевые технологии, Беспроводные технологии] Как компьютерные террористы могут взять в заложники города и страны
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Законодательство в IT] Правовой статус оператора персональных данных
- [Информационная безопасность, Социальные сети и сообщества] Как с помощью Instagram искали самого разыскиваемого преступника Нидерландов
- [Информационная безопасность, Криптография, IT-компании] Пришло время рассказать всю правду о взломе компании RSA
- [Информационная безопасность, Исследования и прогнозы в IT] Технология песочниц для защиты от вредоносного ПО
- [Информационная безопасность, Криптография, Финансы в IT] Крупная страховая компания США выплатила криптовымогателям рекордные $ 40 млн
- [Информационная безопасность, Open source, GitHub, IT-компании] Microsoft представила SimuLand — тестовую лабораторию для моделирования кибератак
- [Информационная безопасность, JavaScript, Браузеры] Кросс-браузерный трекинг на основе перебора обработчика внешних протоколов
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_cscart, #_gdpr, #_trojan (троян), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 24-Ноя 19:20
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 TL;DR: Разрабы второго по популярности (по версии ratingruneta) интернет-магазина встроили в движок код, который делает копии всех счетов клиентов на сервер в Аризоне.Кто пострадалИнтернет-магазины и их клиенты, работающие на CS-Cart всех версий.Сама компания заявляет о 35'000 установок в 170 странах мира.Какая информация содержится в утечке
<?php
... protected static $url = 'http://converter.cart-services.com'; ... public static function render(...) { ... $response = Http::post(self::action('/pdf/render'), json_encode($params), array( 'headers' => array( 'Content-type: application/json', 'Accept: application/pdf' ), 'binary_transfer' => true, 'write_to_file' => $file )); ... protected static function action($action) { return self::$url . $action; } ├ASN 20454 (SSASN2, US) ├ORG Servstra ├NET 184.95.32.0/19 (SERVSTRA) ├ABU - ├ROA ✓ UNKNOWN (no ROAs found) ├TYP Proxy host Hosting/DC ├GEO Phoenix, Arizona (US) └REP ✓ GOODВыводыКомпания-разработчик установила закладку, которая все заказы всех своих 35к клиентов, включая информацию о ФИО, емейлах, телефонах, адресах покупателей сливает куда-то в Аризону на сервер, который зарегистрирован уже 15 лет.Накопленная за, предположительно, 15 лет база - просто клондайк для разного рода преступников, мало того, что имеются персональные данные десятков тысяч (если не сотен тысяч) человек, так ещё есть информация, позволяющая оценить их финансовое состояние.Как это соотносится с законами о персональных данных (GDPR, № 152-ФЗ), думаю, объяснять не надо.Обращение на форум поддержки, кстати, заканчивается удалением топиков и открытым признанием, что такое поведение меняться не будет. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 24-Ноя 19:20
Часовой пояс: UTC + 5