У СДЭК Shopping и СДЭК Маркета утекла база данных :/ Поверхностный анализ случившегося и стоит ли переживать?


#1

Тут на просторах интернета всплыло что СДЭК снова сломали, но теперь зашли с другой стороны — через их маркетплейсы Маркет и Шопинг. СДЭК утечку потдвердил: https://tass.ru/ekonomika/15584605.

Вот пруфы утечки:

Речь идёт о платформе для заказов товаров за рубежом CDEK.Shopping и маркетплейсе CDEK.MARKET. Слитые базы содержат инфу о 120 тысячах пользователей. Украдено в том числе: имя, фамилия, емейл, логин, телефон, хешированный пароль.

Шопинг (первая таблица) у них работал на Laravel, а Маркет (вторая таблица) — на CS-Cart.

Значит ли это, что магазины на CS-Cart в зоне риска? Пока неизвестно. Но риски есть всегда. Я поизучал этот кейс, и вот что нашёл:

  • У них старая версия CS-Cart — 4.10.4 с 23 сентября 2019 г., а обновляться надо всегда :confused:

  • Куча сторонних и написанных ими самими аддонов (см. ниже, что выцепилось из css). Это все надо проверять тоже и анализировать, а там, я уверен тоже много не обновленного и замодиффленного :confused: Не думаю что они знают все требования к разработке, что у партнеров CS-Cart.

  • Неизвестно, как именно построена инфраструктура и мониторинг. Если проекты Маркет и Шопинг на одном сервере были, то один магазин могли ломануть через другой. На форумах и в чатах говорят что была SQL-инъекция, но не говорят пока где (может быть и в самописном решении на ларке).

А вообще нужно обновляться, отслеживать проблемы и мониторить атаки и периодически проверять код на уязвимости, ну и что и как разработчики делают. А у них много и не своих исполнителей, да и потом они себе гору набирали людей.


#2

З – защита :rofl:


Но судя по https://web.archive.org/web/20220712090731/https://cdek.market/, у них как минимум стояли такие модули (там и стандартные, и от партнёров CS-Cart, и самописные):

abt__youpitheme => addons : cdek_catalog
responsive => addons : gdpr
responsive => addons : direct_payments
responsive => addons : social_buttons
responsive => addons : social_buttons
responsive => addons : tags
responsive => addons : rss_feed
responsive => addons : newsletters
abt__youpitheme => addons : cp_vendor_page
responsive => addons : cdek_public_perfomance
responsive => addons : geo_maps
responsive => addons : vendor_communication
responsive => addons : vendor_communication
responsive => addons : vendor_plans
responsive => addons : store_locator
abt__youpitheme => addons : store_locator
responsive => addons : recaptcha
responsive => addons : rma
responsive => addons : rma
responsive => addons : blog
responsive => addons : blog
abt__youpitheme => addons : ab__deal_of_the_day
abt__youpitheme => addons : ab__deal_of_the_day
responsive => addons : ab__scroll_to_top
responsive => addons : ab__hide_product_description
abt__youpitheme => addons : ab__multiple_cat_descriptions
abt__youpitheme => addons : ab__landing_categories
abt__youpitheme => addons : ab__video_gallery
abt__youpitheme => addons : cp_vend_catalog_page
responsive => addons : cp_design_changes
responsive => addons : cp_special_services
abt__youpitheme => addons : cdek_ip_geolocation
abt__youpitheme => addons : cdek_ip_geolocation
responsive => addons : form_builder
responsive => addons : form_builder
responsive => addons : polls
responsive => addons : banners
responsive => addons : discussion
responsive => addons : discussion
responsive => addons : wishlist
responsive => addons : wishlist
responsive => addons : image_zoom
responsive => addons : image_zoom
responsive => addons : hybrid_auth
abt__youpitheme => addons : cdek_pages
responsive => addons : rus_ruble
responsive => addons : rus_sdek
responsive => addons : rus_sdek
abt__youpitheme => addons : cp_power_reviews
responsive => addons : cp_power_reviews
responsive => addons : cp_power_reviews
responsive => addons : cp_power_reviews
abt__youpitheme => addons : cp_power_reviews
abt__youpitheme => addons : cp_power_reviews
responsive => addons : cp_become_seller
responsive => addons : cp_become_seller
responsive => addons : cp_vendor_shipping
responsive => addons : cp_vendor_shipping
responsive => addons : cp_cdek_pickup_points
responsive => addons : cp_cdek_pickup_points
responsive => addons : cp_cdek_pickup_points
responsive => addons : cdek_variations
abt__youpitheme => addons : cdek_public_subcategories
abt__youpitheme => addons : cdek_promotion
responsive => addons : cdek_changes
abt__youpitheme => addons : abt__youpitheme
responsive => addons : cp_fast_site
abt__youpitheme => addons : cdek_collections
responsive => addons : cp_different_func
abt__youpitheme => addons : ip5_theme_style
responsive => addons : ip5_ny_goods
responsive => addons : ip5_lp_couponpromo
responsive => addons : ip5_lp_student_vibe
responsive => addons : ip5_lp_spring_2021
responsive => addons : ip5_lp_8march2021
responsive => addons : ip5_lp_tatyanas_day
responsive => addons : ip5_back_school_lp
abt__youpitheme => addons : cdek_multisearch
abt__youpitheme => addons : cp_subcategories
abt__youpitheme => addons : cdek_checkout

#3

А судя по https://docs.cdek.market/changelog/4.10.4.html они остановили свое развитие с 4.10.4 с 23 сентября 2019 г. :confused:


#4

И да, я не могу не упомянуть что мы, если что – делаем аудиты https://asaplab.io/services/security-audit (сорри за только английскую версию) и на хостинге своем и на поддерживаемых клиентских серверах и инфраструктурах тоже защищаем и ищем уязвимости.

У на нас за плечами горы найденных уязвимостей и в модулях, и в ядре (даже выходили SP из-за этого, но больше правилось в обычных патч версиях) и в кастомах под CS-Cart.

Если что – можете оставить заявку тут https://asaplab.io/ru/contact-us :wink:


#5

Утечку подтвердили официально:

:zap:️СДЭК подтвердил факт утечки базы данных клиентов CDEK.Shopping и “СДЭК.Маркет”

https://tass.ru/ekonomika/15584605


#6

Там маркет невозможно обновить. Насколько я знаю там полностью переписано ядро.

Я не совсем понял. Вы выдали анализ по ситуации или задали вопрос?


#7

Увы, до анализа далеко, конечно, без логов и без доступа к коду и даже текущему сайту (чтобы проверить пару инъекций известных мне под эти версии и аддоны). Я поверхностно посмотрел и покопал + поспрашивал тех кто знает что происходило. А то, что переписано я тоже знаю и что там многое прямо в ядро нахардкожено тоже наслышан, но это больше к тому, что процесс разработки, наверное, сломан, раз начали так хардкодить и фиксировать сервии (а вообще SP и патчи никто не отменял).

Тут сам факт больше и вопрос даже риторический, а заголовок кликбейтный, так как не все знают, что СДЭК Маркет был на CS-Cart. А у тех, кто знает об этом и об утечке, такой вопрос бы рано или поздно появился. А мы оч много эксплуатируем CS-Cart и другие CMS на своём хостинге, сообщаем о найденных уязвимостях и вообще всячески следим за обстановкой с безопасностью в eCommerce. Поэтому посчитал новость важной для этого форума и решили поделиться с находками.


#8

Вопросов больше нет тогда.

Переписано там так потому что ребята и не собирались обновляться. Дорабатывать нужно было много и решили что дешевле вписать в ядро чем делать монстра из модулей.

Я думаю, что под такой проект сделали бы так же.

Всем остальным пользователям рекомендую обновляться как можно скорее во избежание подобных проблем.


#9

Вот с этим максимально согласен! Особенно как выйдет 4.15.2 до нее надо будет точно обновляться :slight_smile:


#10

Сдэк Маркет все, можно убирать ее из портфолио и тд, в целом стоит проредить там проекты
@imac


#11

Спасибо за предупреждение, мы уже :slight_smile:

Убрали СДЭК Маркет с сайта и из кейсов ещё тогда, когда они стали редиректить с Маркета на Shopping. Это было в июле, я тогда как раз разбор писал для тех, кто мог не знать, какой из проектов СДЭК был на CS-Cart: СДЕК.маркет, что с ним?


#12

У СДЭКа продолжается слив и без маркетплейса. Сейчас клиенты получили очередную порцию спама на почту. Думаю покопаться в модуле доставки, чтобы уходил в СДЭК левый емейл при отправке им данных о посылке.


#13

Для диванных аналитиков, слив этот на 99.9% из бекапов, в лес не ходить. Таких сливов ежедневно сотня- две, у обычных магазинов, просто не разгоняют тему, это же не сдэк )), с ваших сайтов каждый десятый программист тырит и потом продает, если что, я там не работаю и не защищаю.