Как стать автором
Обновить

Barclays Bank уличили в использовании «Архива Интернета» в качестве CDN

Информационная безопасность *JavaScript *Финансы в IT
image

Barclays Bank использовал цифровой архив World Wide Web, основанный «Архивом Интернета», в качестве сети доставки содержимого.

Это открытие было сделано пользователем твиттера @immunda:


Он смог связаться с поддержкой банка, и там пообещали исправить ситуацию.

The Register провел свою проверку, и выяснилось, что банк, действительно, извлекает файл из этого URL в «Архиве Интернета»: web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js.

То есть, если web.archive.org выйдет из строя, то, вероятно, перестанет также работать веб-сайт Barclays. Однако хуже, если кому-то удастся изменить файл JS по этому URL-адресу. В частности, файлы JavaScript часто используют при атаках в группе Magecart, которая занимается кражей финансов.

Профессор Алан Вудворд из Университета Суррея подтвердил существование такой опасности: «Это та вещь, на которой будут процветать атаки Magecart».

Другой исследователь Скотт Хелме попытался выяснить, почему Barclays допускает такой небезопасный сценарий:


Джейк Мур из Infosec biz Eset считает, что это могла быть ошибка, допущенная при тестах. Он добавил: «Это не оправдание, это еще одно напоминание о том, что тестирование — тщательный процесс, особенно в случае с финансовым учреждением».

В Barclays же заявили: «Мы очень серьезно относимся к защите данных клиентов, и это является главным приоритетом. Мы хотим заверить наших клиентов, что их данные не подверглись риску в результате этой ошибки».
См. также:

Теги:
Хабы:
Всего голосов 18: ↑16 и ↓2 +14
Просмотры 4.9K
Комментарии Комментарии 14