Как интернет-магазин с 35к установок сливает все заказы своим разработчикам

В какое чудное время мы живём.

Представляю на суд общественности своё небольшое расследование относительно одной довольно популярной CMS, а точнее, закладки, которая спряталась среди ~1кк LOC.

Ситуация довольно бытовая, думаю, рассусоливать завязку особо нет смысла: понадобился интернет-магазин, первая страница выдачи гугла и наш герой- CMS CS-CART. Заглавная страница гордо заявляет о 35к установок и о всём, что должен заявлять о себе популярный продукт.

Надо отдать должное разработчикам, движок и дизайн- выше всяких похвал. Идём на страницу загрузки — вбиваем наш 10minutemail и заветная ссылка на демку у нас в кармане. Качаем. Сегодня нам предлагают cscart_v4.11.4.SP3_ru.zip. 100 Мб между прочим. PHP. «Сервис пак 3»- серьёзные ребята.

Установка, настройка, смотрим. Вроде работает, красиво, но вдруг среди кучи мусора в логах проскользнула какая-то странная ссылка: converter.cart-services.com. Странно, открываем vscode, делаем поиск, не удивляемся, когда находим её в файле ./app/Tygh/Pdf.php. По названию файла как-то догадываемся, что это как-то связано с теми Pdf-счетами, которые приходят покупателям на почту, но как? Читаем код, доходим до ф-ции «render()»:

<?php
/***************************************************************************
*                                                                          *
*   (c) 2004 Vladimir V. Kalynyak, Alexey V. Vinokurov, Ilya M. Shalnev    *
*                                                                          *
* This  is  commercial  software,  only  users  who have purchased a valid *
* license  and  accept  to the terms of the  License Agreement can install *
* and use this program.                                                    *
*                                                                          *
****************************************************************************
* PLEASE READ THE FULL TEXT  OF THE SOFTWARE  LICENSE   AGREEMENT  IN  THE *
* "copyright.txt" FILE PROVIDED WITH THIS DISTRIBUTION PACKAGE.            *
****************************************************************************/

protected static $url = 'http://converter.cart-services.com';
...
public static function render(...)
  {
  ...
  $response = Http::post(self::action('/pdf/render'), json_encode($params), array(
            'headers' => array(
                'Content-type: application/json',
                'Accept: application/pdf'
            ),
            'binary_transfer' => true,
            'write_to_file' => $file
        ));
...
protected static function action($action)
  {
    return self::$url . $action;
  }

Holy Mother of God!

Для тех, кто не про PHP немного поясню: берутся какие-то данные (как не трудно догадаться — счета покупателей) и отправляются по нашей ссылке, в ответ приходит Pdf, который потом отправляется покупателю и/или используется для других целей.

Вау. Немного приходим в себя. 35 тысяч установок, все счета отправляются куда-то, кстати, куда?

whois:

Domain: cart-services.com (90,839 similar domains)
Registrar: GoDaddy.com, LLC (96.5 million domains)
Query Time: 2 Jun 2020 - 11:49 AM UTC  [LIVE WHOIS]

Registered: December 21, 2004  [<b>15 years old</b>]
Updated: December 22, 2018  [1 year ago]
Expiry: December 21, 2020  [6 months left]

REGISTRANT CONTACT

Name: Simbirsk Technologies
Company: Simbirsk Technologies (27 domains)
Country: Russian Federation

Simbirsk Technologies

Заголовок спойлера
Reverse Whois » COMPANY [Simbirsk Technologies ] { 27 domain names }

NUM DOMAIN NAME REGISTRAR CREATED UPDATED EXPIRY
1 cart-services.com GoDaddy.com, LLC 21 Dec 2004 22 Dec 2018 21 Dec 2020
2 simtechdev.com GoDaddy.com, LLC 14 Apr 2011 15 Apr 2018 14 Apr 2020
3 merchium.com GoDaddy.com, LLC 28 Nov 2013 29 Nov 2018 28 Nov 2019
4 serchanise.com GoDaddy.com, LLC 22 Nov 2018 22 Nov 2018 22 Nov 2020
5 cscart.cloud GoDaddy.com, LLC 27 May 2016 2 Jun 2017 27 May 2018
6 cs-cart.cloud GoDaddy.com, LLC 27 May 2016 2 Jun 2017 27 May 2018
7 hybridcart.com GoDaddy.com, LLC 15 Sep 2012 16 Sep 2016 15 Sep 2018
8 smtk.us GoDaddy.com, LLC 29 Nov 2011 6 May 2017 28 Nov 2017
9 cscartforce.com GoDaddy.com, LLC 11 May 2017 11 May 2017 11 May 2018
10 cloud1commerce.net GoDaddy.com, LLC 14 Nov 2016 14 Nov 2016 14 Nov 2017
11 simtechdev.net GoDaddy.com, LLC 21 Aug 2013 22 Aug 2016 21 Aug 2017
12 merchium.net GoDaddy.com, LLC 18 Jul 2014 19 Jul 2016 18 Jul 2018
13 mymerchium.net GoDaddy.com, LLC 18 Jul 2014 19 Jul 2016 18 Jul 2018
14 simtechdesk.com GoDaddy.com, LLC 29 May 2012 30 May 2016 29 May 2019
15 searchanize.com GoDaddy.com, LLC 19 Apr 2011 20 Apr 2016 19 Apr 2018
16 searchnise.com GoDaddy.com, LLC 23 Apr 2012 24 Apr 2016 23 Apr 2018
17 searchanice.com GoDaddy.com, LLC 15 Apr 2011 16 Apr 2016 15 Apr 2018
18 searchanise.com GoDaddy.com, LLC 15 Apr 2011 16 Apr 2016 15 Apr 2018
19 mymerchium.com GoDaddy.com, LLC 9 Dec 2013 10 Dec 2015 9 Dec 2016
20 merchim.com GoDaddy.com, LLC 14 May 2014 15 May 2016 14 May 2018
21 ilyashalnev.com GoDaddy.com, LLC 30 May 2011 31 May 2016 30 May 2017
22 ecommerceupgrades.com GoDaddy.com, LLC 28 May 2009 29 May 2016 28 May 2018
23 ecommerceid.com GoDaddy.com, LLC 13 Apr 2011 14 Apr 2016 13 Apr 2018
24 ecommerceupdates.com GoDaddy.com, LLC 28 May 2009 29 May 2016 28 May 2018
25 deskmine.com GoDaddy.com, LLC 29 May 2012 30 May 2016 29 May 2017
26 searchserverapi.com GoDaddy.com, LLC 13 Jan 2015 14 Jan 2016 13 Jan 2017
27 searchanise-api.com GoDaddy.com, LLC 12 Jan 2015 12 Jan 2015 12 Jan 2017


Т.е. что мы имеем: компания-разработчик установила закладку, которая все заказы всех своих 35к клиентов, включая информацию о ФИО, емейлах, телефонах, адресах покупателей сливает куда-то в Панаму на сервер godaddy, который зарегистрирован уже 15 лет. Трудно даже представить, какую базу они успели набрать и как её использовали. Также интересно, как эти действия могут быть квилифицированы с точки зрения закона о защите ПД, который прямо запрещают передавать информацию, однозначно идентифицирующую человека, через границу.

Ну, и, предвидя возможные отговорки про то, что эти данные никоим образом никогда, и нигде, и никем не использовались в плохих целях, скажу только одно: верю! Отчего ж не верить? У самого был у меня белый гусь. Вот как-то запряг я его в телегу, по делам поехал. А в дороге проголодался. Дай, думаю, половину гуся съем, а сам на второй доеду! Посолил гуся, поперчил, маслом ореховым полил… Ох! Выросло на спине гуся ореховое дерево!(с)
Tags:
cs-cart, информационная безопасность, gdpr, промышленный шпионаж

You can't comment this post because its author is not yet a full member of the community. You will be able to contact the author only after he or she has been invited by someone in the community. Until then, author's username will be hidden by an alias.