Речь идёт о платформе для заказов товаров за рубежом CDEK.Shopping и маркетплейсе CDEK.MARKET. Слитые базы содержат инфу о 120 тысячах пользователей. Украдено в том числе: имя, фамилия, емейл, логин, телефон, хешированный пароль.
Шопинг (первая таблица) у них работал на Laravel, а Маркет (вторая таблица) — на CS-Cart.
Значит ли это, что магазины на CS-Cart в зоне риска? Пока неизвестно. Но риски есть всегда. Я поизучал этот кейс, и вот что нашёл:
Куча сторонних и написанных ими самими аддонов (см. ниже, что выцепилось из css). Это все надо проверять тоже и анализировать, а там, я уверен тоже много не обновленного и замодиффленного Не думаю что они знают все требования к разработке, что у партнеров CS-Cart.
Неизвестно, как именно построена инфраструктура и мониторинг. Если проекты Маркет и Шопинг на одном сервере были, то один магазин могли ломануть через другой. На форумах и в чатах говорят что была SQL-инъекция, но не говорят пока где (может быть и в самописном решении на ларке).
А вообще нужно обновляться, отслеживать проблемы и мониторить атаки и периодически проверять код на уязвимости, ну и что и как разработчики делают. А у них много и не своих исполнителей, да и потом они себе гору набирали людей.
И да, я не могу не упомянуть что мы, если что – делаем аудиты https://asaplab.io/services/security-audit (сорри за только английскую версию) и на хостинге своем и на поддерживаемых клиентских серверах и инфраструктурах тоже защищаем и ищем уязвимости.
У на нас за плечами горы найденных уязвимостей и в модулях, и в ядре (даже выходили SP из-за этого, но больше правилось в обычных патч версиях) и в кастомах под CS-Cart.
Увы, до анализа далеко, конечно, без логов и без доступа к коду и даже текущему сайту (чтобы проверить пару инъекций известных мне под эти версии и аддоны). Я поверхностно посмотрел и покопал + поспрашивал тех кто знает что происходило. А то, что переписано я тоже знаю и что там многое прямо в ядро нахардкожено тоже наслышан, но это больше к тому, что процесс разработки, наверное, сломан, раз начали так хардкодить и фиксировать сервии (а вообще SP и патчи никто не отменял).
Тут сам факт больше и вопрос даже риторический, а заголовок кликбейтный, так как не все знают, что СДЭК Маркет был на CS-Cart. А у тех, кто знает об этом и об утечке, такой вопрос бы рано или поздно появился. А мы оч много эксплуатируем CS-Cart и другие CMS на своём хостинге, сообщаем о найденных уязвимостях и вообще всячески следим за обстановкой с безопасностью в eCommerce. Поэтому посчитал новость важной для этого форума и решили поделиться с находками.
Переписано там так потому что ребята и не собирались обновляться. Дорабатывать нужно было много и решили что дешевле вписать в ядро чем делать монстра из модулей.
Я думаю, что под такой проект сделали бы так же.
Всем остальным пользователям рекомендую обновляться как можно скорее во избежание подобных проблем.
Убрали СДЭК Маркет с сайта и из кейсов ещё тогда, когда они стали редиректить с Маркета на Shopping. Это было в июле, я тогда как раз разбор писал для тех, кто мог не знать, какой из проектов СДЭК был на CS-Cart: СДЕК.маркет, что с ним?
У СДЭКа продолжается слив и без маркетплейса. Сейчас клиенты получили очередную порцию спама на почту. Думаю покопаться в модуле доставки, чтобы уходил в СДЭК левый емейл при отправке им данных о посылке.
Для диванных аналитиков, слив этот на 99.9% из бекапов, в лес не ходить. Таких сливов ежедневно сотня- две, у обычных магазинов, просто не разгоняют тему, это же не сдэк )), с ваших сайтов каждый десятый программист тырит и потом продает, если что, я там не работаю и не защищаю.
️СДЭК подтвердил факт утечки базы данных клиентов CDEK.Shopping и “СДЭК.Маркет”