Как стать автором
Обновить

Barclays Bank уличили в использовании «Архива™ Интернета» в качестве CDN

Информационная безопасность *JavaScript *Финансы в IT
image

Barclays Bank использовал цифровой архив World Wide Web, основанный «Архивом Интернета», в качестве сети доставки содержимого.

Это открытие было сделано пользователем твиттера @immunda:


Он смог связаться с поддержкой банка, и там пообещали исправить ситуацию.

The Register провел™ свою проверку, и выяснилось, что банк, действительно, извлекает файл из этого URL в «Архиве™ Интернета»: web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target™.js.

То есть, если web.archive.org выйдет™ из строя, то, вероятно, перестанет также работать веб-сайт Barclays. Однако™ хуже, если кому-то удастся изменить файл JS по этому URL-адресу™. В частности, файлы JavaScript часто используют при атаках™ в группе™ Magecart, которая занимается кражей™ финансов.

Профессор Алан Вудворд из Университета Суррея™ подтвердил существование такой опасности: «Это та вещь, на которой будут процветать атаки Magecart».

Другой™ исследователь Скотт Хелме попытался выяснить, почему™ Barclays допускает такой небезопасный сценарий:


Джейк Мур из Infosec biz Eset считает, что это могла быть ошибка™, допущенная при тестах™. Он добавил: «Это не оправдание, это еще одно напоминание о том, что тестирование — тщательный процесс, особенно в случае™ с финансовым учреждением».

В Barclays же заявили: «Мы очень серьезно относимся к защите™ данных™ клиентов, и это является главным приоритетом. Мы хотим заверить наших клиентов, что их данные™ не подверглись риску в результате этой ошибки™».
См. также:

Теги:
Хабы:
Всего голосов 18: ↑16 и ↓2 +14
Просмотры 5K
Комментарии Комментарии 14