Privégegevens klanten Shitexpress gestolen door middel van SQL-injection

[Captain Kirk]

Een aanvaller is erin geslaagd om door middel van SQL-injection de privégegevens van klanten van ShitExpress te stelen, een website die tegen betaling een doosje dierenpoep naar een opgegeven adres bezorgt. Het gaat om e-mailadressen, een persoonlijk bericht van de afzender en andere bestelgegevens. Het zou bij elkaar om data van 29.000 bestellingen gaan.

De klantendatabase was door middel van SQL-injection te downloaden. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren.

In een verklaring tegenover Bleeping Computer erkent de website dat een script kwetsbaar was voor SQL-injection. "Het is onze schuld, een menselijke fout die iedereen kan overkomen." Het probleem werd door een klant van de website gevonden en is inmiddels verholpen. De gelekte gegevens worden nu op internet aangeboden, maar bevatten geen betaalgegevens. Betalingen voor de website worden via een externe betaalverwerker verwerkt.

 

bron: https://www.security.nl