Una empresa que envía los excrementos de animales en caja de regalo, como si fueran una sorpresa, para vengarse de enemigos fue hackeada por un famoso pirata cibernético. El resultado del ataque fue hilarante y gratificante
Quién no se ha visto sobrepasado por las constantes manifestaciones de intolerancia que vemos en las redes sociales y en la vida diaria. Pero hay días en las que una noticia rara puede no solo sacarnos una sonrisa, sino demostrar que no hay tanta gente mala a nuestro alrededor.
La siguiente historia tiene tantos ingredientes extraños, que parecen sacados de una película deAdam McKay («Don’t Look Up») y protagonizada por las estrellas de Jackass.
Todo comienza con un sitio llamado ShitExpress. Si sabes algo de inglés -todos aprendemos este tipo de términos antes que cualquier otra palabra- ya lo intuirás. Se trata de un sitio que ofrece enviar una caja con heces de animales «personalizada». Como cliente puedes escoger qué tipo de animal quieres para usar sus deposiciones y además le puedes agregar un mensaje.
«Imagina a todas las personas que más te molestan. Un colega irritante. El maestro de escuela. Tu ex esposa. El jefe asqueroso. El vecino celoso. Ese excompañero de clase exitoso. O todos esos molestos enemigos. ¿Qué pasaría si pudieras enviarles una sorpresa maloliente? ¡No hay nada que pueda reemplazar la expresión en la cara del destinatario después de abrir la caja!», dice la página de inicio de ShitExpress.
El proceso de compra consta de 4 pasos: Elegir un animal para detallar el excremento. Por ejemplo, del caballo se anuncia que es una caca húmeda y orgánica. Luego proporcionas una dirección de envío. Personalizas el embalaje, que puede ser una pegatina sonriente y/o un mensaje, y finalmente pagas tu pedido. Aseguran que llegan a cualquier parte del mundo y se ofrecen como un gran regalo para Navidad:
Los pagos se pueden realizar mediante tarjeta de crédito o Bitcoin. La web promete a los usuarios anonimato completo, incluso cuando pagan con tarjeta de crédito. El costo, según anuncia, es de 13,95 euros, 16,95 dólares o 0.05 BTC.
Y es aquí cuando la cosa se pone buena. Un «cliente» quería jugarle una mala pasada a un «viejo amigo», pero no se trataba de un cliente cualquiera, era uno de los piratas informáticos más conocidos del mundo, según cuenta BleepingComputer, una web que regularmente cubre noticias de ataques a base de datos, que suelen ser miles a diario.
El cliente especial terminó siendo pompompurin, propietario de un foro de piratería muy conocido llamado Breached.co. Este hombre es famoso por haber robado datos privados de compañías como QuestionPro y Mangatoon. También había puesto a la venta en línea datos robados de 7 millones de clientes de Robinhood, una plataforma comercial que ofrece a los usuarios la posibilidad de invertir en un paquete de acciones que cotizan en Wall Street y de comprar e intercambiar criptomonedas.
Pompompurin publicó en un foro que visitó ShitExpress para enviarle un regalito a su archienemigo, el investigador de seguridad cibernética Vinny Troia, cuando notó que el sitió había dejado una ventana abierta para una inyección SQL (Structured Query Language).
Como se explica en Avast, la inyección de SQL es un tipo de ciberataque encubierto en el cual un hacker inserta código propio en un sitio web con el fin de quebrantar las medidas de seguridad y acceder a datos protegidos. Una vez dentro, puede controlar la base de datos del sitio web y secuestrar la información de los usuarios.
De tal manera que el pirata informático accedió a los mensajes de los clientes de la empresa de bromas, las direcciones de correo electrónico y otros datos privados asociados con los pedidos supuestamente anónimos.
BleepingComputer publicó algunos de los mensajes que los usuarios usaron para enviar regalos que se pueden ver por esta filtración y habló con el perpetrador del ataque, quien dijo que se sorprendió al ver que realmente los pedidos no eran tan grandes como se podría pensar en un principio. Es decir, no hay tanta gente deseosa de vengarse del «maestro de escuela; exesposa; jefe asqueroso; vecino celoso; excompañero de clase exitoso» como anuncia la web.
«Honestamente, no es tan grande… Hay alrededor de 29,000 pedidos en los datos», dijo pompompurin a BleepingComputer. El pirata confirmó haber usado el ataque e SQL, pero contó que no extorsionó a los propietarios del sitio con una demanda de rescate, algo muy común cuando los hackeadores se apropian de los datos. «Obtuve acceso un día antes de filtrarlo y le notifiqué al propietario del sitio web después de descargar los datos. [No estoy] seguro de si lo han reconocido o algo hasta el momento», concluyó el hacker.
BleepingComputerse comunicó con ShitExpress, que aceptó a través de un correo electrónico que habían dejado una ventana abierta para el hackeo, pero se lo tomaron con un humor, recordando que su web solo era «un sitio de bromas» y advirtieron que habían solucionado el problema después de notarlo.
BleepingComputer elogió la manera sincera como la web de cajas de excremento respondió a las preguntas, recordando que muy pocas empresas aceptan que han sufrido alguna filtración o robo de datos y cerraron la nota con una genial frase que dijo ShitExpress después del ataque: «This shit is hilarious!».
