気に入らない知人や何らかの理由で敵対する相手に対し、匿名で動物の糞尿にメッセージを添えて送りつけられるサービス「ShitExpress」が、サイトの脆弱性を突かれてデータベースをまるごとダウンロードされ、ハッキングフォーラムに公開される事態が発生しました。
ShitExpressのウェブページは日本語にも対応しており、そこには「あなたを悩ますあの人、この人を思い浮かべてみてください」、「もし、その人たちにクッサーいサプライズを贈ることができるとしたら?」と書かかれています。そして送りつけるウ〇コの種類(動物)や箱に飾りのスマイリーシールを貼付するか否かなどのオプションを選択して送付できるようになっています。価格は16.95ドル(約2300円)、送料無料とリーズナブル(?)です。
そして、つい最近、このジョークと言うには少々度が過ぎるサービスを利用し、サイバーセキュリティ研究者のVinny Troia氏に「クッサーいサプライズ」を送った人物がいました。それがpompompurinと称する、過去に株取引アプリのRobinhoodから700万人分もの顧客情報を盗み出したとされるハッカー。Troia氏はかつてオンライン署名サイトChange.orgで、このハッカーを米国に引き渡すよう世界の指導者に嘆願するための署名活動を実施するなど、pompomprinとの間に確執があり、そのことに対するいたずらじみた報復が目的だった模様。
そして、pompompurinはハッキングフォーラムbreached.toに、Troia氏への贈り物を発注した際に、このサイトがSQLインジェクション攻撃に脆弱であることを見つけ、顧客に関するデータベースを入手したと報告しました。8月9日にはShitExpressがホストしている複数のデータベーステーブルからのサンプルデータも公開。そのデータには送付されたメッセージの文面、メールアドレス、および顧客が発注する際に入力するその他の個人データが含まれています。
一方のShitExpressは、コンピューター技術サイトBleepingComputerに対し「サーバー上で発生した異常なアクティビティを検出し、スクリプトの 1 つが SQL インジェクションに対して脆弱であることがわかりました。これは純粋に私たちの落ち度で、誰にでも起こりうるヒューマンエラーでもあります。私たちの顧客の一人がそれを発見して報告してくれたため、すぐに問題を修正しました」と述べ、記事執筆時点では何事もなかったかのようにサービスを継続しています。
ただ、データベースの内容が公開されたことで、実際にこの酷いサービスを利用した顧客は(因果応報とはいえ)頭を抱えているはず。ShitExpressは定期的に顧客データは削除すると利用規約に記しているものの、もし送られた側が流出したデータから誰の仕業だったのかを知ったりすれば、互いにいろいろと胸クソ悪い状況になるでしょう。
ちなみに、pompompurinは昨年11月にFBIのウェブサイトの欠陥を突き、FBI内部のメールアドレスを使用して10万人以上にTroia氏を中傷し評判を落とそうとする内容を含む虚偽のメールを送信しています。両者の確執は深いようで、今後もフン糾しそうです。
