Троян в CS-Cart. Утечка счетов из 35'000 интернет-магазинов

TL;DR: Разрабы второго по популярности (по версии ratingruneta) интернет-магазина встроили в движок код, который делает копии всех счетов клиентов на сервер в Аризоне.

Кто пострадал

Интернет-магазины и их клиенты, работающие на CS-Cart всех версий.

Сама компания заявляет о 35'000 установок в 170 странах мира.

Какая информация содержится в утечке

• ФИО покупателя интернет-магазина

• Адрес покупателя

• Телефон покупателя

• email покупателя

• Сумма заказа, заказанные товары и услуги

• Почтовые треки

Подробности

С CMS можно познакомиться (и скачать демо) по двум адресам: https://www.cs-cart.ru/, https://www.cs-cart.com/.

Последняя версия на сегодня 4.12.2.SP2 (зеркало), написана на PHP, ставится как всё, заточенное под LAMP, но нам для наших целей это не обязательно делать.

Скачиваем, распоковываем и сразу идём смотреть ./app/Tygh/Pdf.php , где видим такой код для отрисовки счёта клиента в виде Pdf-файла:

<?php
...
protected static $url = 'http://converter.cart-services.com';
...
public static function render(...)
  {
  ...
  $response = Http::post(self::action('/pdf/render'), json_encode($params), array(
            'headers' => array(
                'Content-type: application/json',
                'Accept: application/pdf'
            ),
            'binary_transfer' => true,
            'write_to_file' => $file
        ));
...
protected static function action($action)
  {
    return self::$url . $action;
  }

где json_encode($params) содержит всю личную информацию, в т.ч. персональные данные покупателя, а Http::post(self::action('/pdf/render') после эвалюации превращается в Http::post("https://converter.cart-services.com/pdf/render") и все наши данные отправляются по ссылке выше, а уже в ответ из Аризоны (см. далее) приходит Pdf, который потом отправляется покупателю и/или используется для других целей системы.

converter.cart-services.com

Если погуглить этот адрес (converter.cart-services.com), то окажется, что первые обращения в форум поддержки датируются не позже 2018 года (вероятно, даже раньше, но администрация форума поддержки удаляет сообщения об этой проблеме), скорее всего с 2006 года, когда этот адрес был зарегестрирован.

Сам сервер, где собираются счета находится в Аризоне, США:

- Resolving "converter.cart-services.com"... 1 IP address found: 184.95.47.28

             ┌PTR cs-cart.com
             ├ASN 20454 (SSASN2, US)
             ├ORG Servstra
             ├NET 184.95.32.0/19 (SERVSTRA)
             ├ABU -
             ├ROA ✓ UNKNOWN (no ROAs found)
             ├TYP  Proxy host   Hosting/DC
             ├GEO Phoenix, Arizona (US)
             └REP ✓ GOOD

Выводы

Компания-разработчик установила закладку, которая все заказы всех своих 35к клиентов, включая информацию о ФИО, емейлах, телефонах, адресах покупателей сливает куда-то в Аризону на сервер, который зарегистрирован уже 15 лет.

Накопленная за, предположительно, 15 лет база - просто клондайк для разного рода преступников, мало того, что имеются персональные данные д��сятков тысяч (если не сотен тысяч) человек, так ещё есть информация, позволяющая оценить их финансовое состояние.

Как это соотносится с законами о персональных данных (GDPR, № 152-ФЗ), думаю, объяснять не надо.

Обращение на форум поддержки, кстати, заканчивается удалением топиков и открытым признанием, что такое поведение меняться не будет.