Троян в CS-Cart. Утечка счетов из 35'000 интернет-магазинов / forpes.ru

Главная
Троян в CS-Cart. Утечка счетов из 35'000 интернет-магазинов

Троян в CS-Cart. Утечка счетов из 35'000 интернет-магазинов +4

23.05.2021 13:51

YourMama 28 8300 Источник

TL;DR: Разрабы второго по популярности (по версии ratingruneta) интернет-магазина встроили в движок код, который делает копии всех счетов клиентов на сервер в Аризоне.

Кто пострадал

Интернет-магазины и их клиенты, работающие на CS-Cart всех версий.

Сама компания заявляет о 35'000 установок в 170 странах мира.

Какая информация содержится в утечке

ФИО покупателя интернет-магазина
Адрес покупателя
Телефон покупателя
email покупателя
Сумма заказа, заказанные товары и услуги
Почтовые треки

Подробности

С CMS можно познакомиться (и скачать демо) по двум адресам: https://www.cs-cart.ru/, https://www.cs -cart.com/.

Последняя версия на сегодня 4.12.2.SP2 (зеркало), написана на PHP, ставится как всё, заточенное под LAMP, но нам для наших целей это не обязательно делать.

Скачиваем, распоковываем и сразу идём смотреть ./app/Tygh/Pdf.php , где видим такой код для отрисовки счёта клиента в виде Pdf-файла:

<?php
...
protected static $url = 'http://converter.cart-services.com';
...
public static function render(...)
  {
  ...
  $response = Http::post(self::action('/pdf/render'), json_encode($params), array(
            'headers' => array(
                'Content-type: application/json',
                'Accept: application/pdf'
            ),
            'binary_transfer' => true,
            'write_to_file' => $file
        ));
...
protected static function action($action)
  {
    return self::$url . $action;
  }

где json_encode($params) содержит всю личную информацию, в т.ч. персональные данные покупателя, а Http::post(self::action('/pdf/render') после эвалюации превращается в Http::post("https://converter.cart-services.com/pdf/render") и все наши данные отправляются по ссылке выше, а уже в ответ из Аризоны (см. далее) приходит Pdf, который потом отправляется покупателю и/или используется для других целей системы.

converter.cart-services.com

Если погуглить этот адрес (converter.cart-services.com), то окажется, что первые обращения в форум поддержки датируются не позже 2018 года (вероятно, даже раньше, но администрация форума поддержки удаляет сообщения об этой проблеме), скорее всего с 2006 года, когда этот адрес был зарегестрирован.

Сам сервер, где собираются счета находится в Аризоне, США:

- Resolving "converter.cart-services.com"... 1 IP address found: 184.95.47.28

             -PTR cs-cart.com
             +ASN 20454 (SSASN2, US)
             +ORG Servstra
             +NET 184.95.32.0/19 (SERVSTRA)
             +ABU -
             +ROA ? UNKNOWN (no ROAs found)
             +TYP Proxy host   Hosting/DC
             +GEO Phoenix, Arizona (US)
             LREP ? GOOD

Выводы

Компания-разработчик установила закладку, которая все заказы всех своих 35к клиентов, включая информацию о ФИО, емейлах, телефонах, адресах покупателей сливает куда-то в Аризону на сервер, который зарегистрирован уже 15 лет.

Накопленная за, предположительно, 15 лет база - просто клондайк для разного рода преступников, мало того, что имеются персональные данные десятков тысяч (если не сотен тысяч) человек, так ещё есть информация, позволяющая оценить их финансовое состояние.

Как это соотносится с законами о персональных данных (GDPR, № 152-ФЗ), думаю, объяснять не надо.

Обращение на форум поддержки, кстати, заканчивается удалением топиков и открытым признанием, что такое поведение меняться не будет.

Комментарии (28)

ky0
23.05.2021 17:28
#23068918
Вы переживаете, что CMS отправляет чувствительные данные наружу, или что она отправляет их в Аризону? Складывается впечатление, что второе — хотя негодования заслуживает (если это действительно злонамеренно и не отражено в договоре) первое.
1. YourMama Автор
  23.05.2021 17:40
  #23068954
  +1
  Тут не столько переживание, сколько обозначение статей, которые нарушаются (N 152-ФЗ Ст. 12. Трансграничная передача персональных данных)
  1. ky0
    23.05.2021 18:29
    #23069054
    +2
    То есть если бы всё это уезжало куда-нибудь на левый хостинг в РФ — галактика не была бы в опасности? Хотя, если подумать, именно у отечественных мошенников, а не зарубежных, куда больше шансов успешно применить массив подобной информации.
    
    YourMama Автор
    23.05.2021 20:15
    #23069384
    Отнюдь. Ваши данные, кстати, с большой долей вероятности у них тоже имеются с учётом популярности движка.
    
    ky0
    23.05.2021 20:52
    #23069500
    Что «отнюдь»-то? Вы если не согласны с каким-то тезисом — извольте как-то более развёрнуто обозначать позицию и контраргументы. А то мы всё ближе скатываемся к уровню дискуссии «ты не прав, иди нафиг».
    
    За свои данные я не переживаю, даже если они куда-то утекли. Предоставляя их любому сервису, не важно — российскому или зарубежному, я отдаю себе отчёт, что потенциально отдаю их неограниченному кругу лиц.
    
    YourMama Автор
    24.05.2021 21:01
    #23069526
    Простите, мне кажется, что, когда речь идёт о том в опасности ли галактика или нет, более развёрнутого ответа не предполагается. Мне лично без разницы национальный состав банды, которая меня грабит, если Вы об этом.
    Не знаю как Вы, а лично я свои фио+адрес+мыло+телефон даю совершенно не предполагая, что они могут быть переданы 3-м лицам.
    И уж тем более, думаю, этого не предполагают владельцы интернет-магазинов)

YourMama Автор
23.05.2021 17:34
#23068928
del

mkovalevskyi
23.05.2021 19:27
#23069232
+1
Объяснять надо.
Вы на основе пинга делаете вывод что кто-то тырит информацию. Хотя абсолютно очевидно, что у них там просто стоит платный конвертер и они не особо горят желанием расставлять его копии по всему миру, имею геморрой с хостингами, синхронизацией, балансингом, доступностью этого всего и прочим счастьем.
А пока это выглядит так, будто вы просто хотели демо версию ручками поправить в не очень демо. И ваше возмущение неудачей понятно, но немного не очень в тему…
1. YourMama Автор
  23.05.2021 20:09
  #23069370
  На основе пинга? Вы немного в ЯП понимаете? Вверху чёткий разбор участка кода (который, как в демо, так и в платных версиях одинаковый), где воруется информация, и уж совершенно никого не волнует какие мотивы Вы этим ворам приписываете.
  1. mrBarabas
    25.05.2021 00:35
    #23069884
    Вот человек верно написал, что по адресу находится проприетарное ПО для конвертации в ПДФ и использование его неправомочно только с привязкой к соглашению об использовании движка, где про обработку данных данным сервисом не будет ни слова. Вот если бы Вы привели аргументацию, что в договоре про это ни слова ни в каком виде, то да «галактика в опасносте», потому что прописывая данный код разработчики берут на себя ответственность, а если нет - значит они по-тихому скрывают (видимо ведь не зря скрывают) и Вы нашли нарушение закона и пост - причина требовать справедливости.
  1. mkovalevskyi
    25.05.2021 00:55
    #23069932
    В ЯП — не особо, у меня другая терминология. Но понимаю немножко в бизнес логике и прочих странных буквосочетаниях. и я вот, могу представить достаточно много вполне валидных сценариев на эту тему.
    Причем, я ж не спорю что там могут быть нюансы с росс законодательством, я не в курсе какие там запросы при запуске/установке/клике по пункту оплатить, и даже не собираюсь прояснять разницу между хранением и обработкой в данном аспекте. Но у вас с красной строки идет: «алярм, троян, все пропало», и подтверждаете вы это в стиле роскомнадзора. Не надо так.

Bavun
23.05.2021 20:46
#23069484
Популярные «разрабы» с адресом «планета Земля» и телефоном на WhatsApp?
Я не думаю, что мало-мальски серьёзный бизнес будет с ними связываться.
1. YourMama Автор
  23.05.2021 20:51
  #23069498
  Москва, ул. Беговая, д. 3, корп. 1
  8 (800) 500 80 71
  7 (495) 150-19-43
  help@cs-cart.ru
  #simtechru
  /cscartru
  
  г. Ульяновск, проезд Сиреневый, 7А
  +7 (8422) 525-929
  
  www.cs-cart.ru/contacts.html
  1. Bavun
    24.05.2021 20:57
    #23069514
    Я имел ввиду заграничную версию сайта.
    
    YourMama Автор
    24.05.2021 21:19
    #23069558
    www.cs-cart.ru/clients
    по-моему выглядит достаточно серьёзно для немалого количества бизнессов

tommyangelo27
24.05.2021 21:45
#23069612
Что из приведённого в списке является "счётом", фигурирующим в заголовке?
- ФИО покупателя интернет-магазина
- Адрес покупателя
- Телефон покупателя
- email покупателя
- Сумма заказа, заказанные товары и услуги
- Почтовые треки
Что из этого вы называете "утечкой счетов"?
1. mrBarabas
  25.05.2021 00:37
  #23069886
  +1
  Вероятно, имеется в виду бухгалтерский счёт, то есть кто что когда заказал и в каком количестве
1. YourMama Автор
  25.05.2021 11:12
  #23070856
  Вот такие данные утекают

LFFATE
25.05.2021 10:56
#23070762
Материал интересный, но оформлен в лучших традициях жёлтой прессы.
"Накоплена база". Есть основания полагать, что результат генерации бессрочно хранится?
Утечка счетов - утечка это нечто незапланированное. По факту мы видим абсолютно штатную работу системы. Возможно нарушающую какие-то законы. И то, если об этом не сказано в каком-нибудь их соглашении пользователя.
Какие счета под угрозой - тоже не видно из материала.
У шопифай вообще все магазины на своих серверах. Можете следующую статью назвать "утечка счетов миллионов магаизнов первого по популярности движка екомерс"
Или ещё лучше "троян: разработчики встроили в свой продукт облако"
1. YourMama Автор
  25.05.2021 11:03
  #23070806
  Простите, но шопифай и цскарт- совершенно разные услуги. Одно дело, когда вы получаете сервис, другое дело, когда вы покупаете продукт. Это всё равно, что сравнивать банк, который в курсе ваших дел и другое дело если, например, АвтоВАЗ будет получать GPS-треки ваших передвижений, или фирма по выпуску презервативов будет получать адреса-телефоны ваших партнёров. Первое- прозрачно и ясно, второе- явно малварь.

imac
25.05.2021 11:58
#23071050
Очень уж желтушный заголовок, особенно для такого сообщества как Хабр. “Кто пострадал”, “установила закладку”, “накопленная база” — эти разоблачающие формулировки основаны на чем? Это, конечно, риторический вопрос.

Генерация PDF находится в отдельном сервисе, потому что он требует особого окружения, которое не на каждом сервере поднимешь.
1. Одно из немногих решений для генерации PDF, которое просто работает и не требует постоянного допиливания — это утилита wkhtmltopdf
2. Ставится он на уровне системы, взаимодействие с ней идет через вызов бинарника через exec
3. Соответственно, клиенты на shared хостингах такого себе позволить не могут, а клиенты на выделанных серверах не очень то хотят по соображениям безопасности
4. Чтобы инвойсы в PDF работали для всех, а не для избранных, генерация вынесена в сервис, который принимает HTML, а отдает PDF
Сервис converter.cart-services.com принадлежит CS-Cart. Исходный код сервиса для конвертации PDF открытый: https://github.com/cscart/pdf
По коду можно увидеть, что сервис занимается только преобразованием данных из HTML в PDF, никакого дополнительного извлечения данных по заказам при генерации нет, после генерации документа мы у себя никаких данных не оставляем — ни исходных, ни преобразованных.
1. YourMama Автор
  25.05.2021 12:21
  #23071164
  -1
  То, что вы не смогли в pdf не означает, что нужно «особое окружение», тот же mpdf.github.io ставится за 15 минут:
  
  public static function render($html, $filename = '', $save = false, $params = array()) { require_once __DIR__ . '/app/lib/vendor/autoload.php'; $file = fn_create_temp_file(); $mpdf = new \Mpdf\Mpdf(); $mpdf->WriteHTML($html[0]); $content = $mpdf->Output('', 'S'); file_put_contents($file, $content); if (!empty($file)) { return self::output($file, $filename, $save); } return false; }
  
  Другие как-то справляются.
  А про то, что «после генерации документа мы у себя никаких данных не оставляем [мамой клянусь]» скажу одно: верю! Отчего же не верить. И у меня был белый гусь. Вот как-то запряг я его в телегу, по делам поехал. А в дороге проголодался. Дай, думаю, половину гуся съем, а сам на второй доеду! Посолил гуся, поперчил, маслом ореховым полил… Ох! Выросло на спине гуся ореховое дерево!

vetalmit
25.05.2021 02:15
#23074586
Я просто оставлю это здесь… Скриншот с официального форума в закрытой от случайных глаз теме. Подтвердили, что данные передаются на другой континент, но им пох на это.
1. YourMama Автор
  25.05.2021 10:23
  #23075292
  По* им на это чуть более, чем полностью
  1. LFFATE
    26.05.2021 08:43
    #23078954
    я вебвизором не пользовался уже года три, но когда пользовался, он именно что собирал данные форм. Там был встроенный кейлоггер по сути.
    Поэтому аргументация в стиле «если бы… то стоял бы вой на весь мир» не работает.
    
    ЗЫ: yandex.ru/support/metrica/webvisor-v2/settings.html
    
    YourMama Автор
    26.05.2021 10:51
    #23079526
    Вы им добровольно пользовались? Сами то-есть себе устанавливали? Знаете, бывает, что люди себе устанавливают кейлоггеры или, например, GPS-трекеры для каких-то нужд, а бывает, что одним людям без их ведома другие люди устанавливают кейлоггеры и GPS-трекеры. Не могли бы Вы эти два примера прокомментрровать как Вы их понимаете?
    
    LFFATE
    26.05.2021 11:28
    #23079702
    Не буду ничего комментировать. Вы постоянно меняете аргументы.
    Я лучше подожду, когда вы напишите, какие конкретно статьи и каких законов были нарушены и дадите оценку соглашению пользователя cs-cart (или как там называется).
    Тогда будет хоть какой-то намёк на конструктив, а не эмоции и обвинения в духе «а если бы».
    
    YourMama Автор
    26.05.2021 11:41
    #23079780
    Доведение до абсурда (лат. reductio ad absurdum), или апагогия («сведе?ние», др.-греч. ??? ?????? ???????), — логический приём, которым доказывается несостоятельность какого-нибудь мнения таким образом, что или в нём самом, или же в вытекающих из него следствиях обнаруживается противоречие.
    
    Вы просто ввязались в неравный бой.

Троян в CS-Cart. Утечка счетов из 35'000 интернет-магазинов +4

Кто пострадал

Какая информация содержится в утечке

Подробности

converter.cart-services.com

Выводы

Комментарии (28)

YourMama Автор

YourMama Автор

YourMama Автор

YourMama Автор

YourMama Автор

YourMama Автор

YourMama Автор

YourMama Автор

YourMama Автор

YourMama Автор

YourMama Автор

YourMama Автор

YourMama Автор