巴克莱银行(Barclays Bank)似乎一直在使用不亚于互联网档案馆(Internet Archive)的Wayback Machine作为内容分发网络来提供Javascript文件。
这一离奇的发现是推特用户@Immunda在周四发现的,他在周四发现这家英国金融机构正在从互联网档案馆打电话给JS。
在与巴克莱银行(Barclays)自动化Twitter DM聊天机器人进行了一场徒劳的争斗后不久,他宣布,他已经接通了一名承诺修复令人震惊的咆哮的人。
在“注册中心”的检查中,有问题的吼叫者似乎是从互联网档案馆的这个URL中调出了一个文件:
如果web.archive ve.org瘫痪,巴克莱的网站大概也会瘫痪。更糟糕的是,如果有人设法更改该URL处的JS文件,他们可能会注入…。嗯,他们喜欢什么都行。
除其他外,JS是Magecart金融凭证窃取团伙最喜欢的攻击媒介。
萨里大学的艾伦·伍德沃德教授告诉“纪事报”:这正是Magecart攻击得以兴旺发展的原因。归根结底,是组织整合了所有这些资产,包括那些从其他网站吸引来的资产,以确保他们有一个安全的网站,只有当你知道你的网站包括什么时,这才是真的。
他接着说:谁会使用互联网档案馆来提取重要的资产,比如Javascript文件,或者任何相关的文件?
这位教授向我们指出了信息安全研究员斯科特·赫尔梅(Scott Helme)在推特上的一条帖子,他走进了兔子洞,试图弄清楚巴克莱为什么要做这样一件明显愚蠢的事情。
此外,没有SRI,所以如果互联网档案馆想要提供一个键盘记录器,密码劫持JS,恶意重定向,重写DOM或插入一个类似MageCart的信用卡掠夺器,这一切都是公平的游戏😧pic.twitter.com/3OPFR2nGFW。
-斯科特·赫尔姆(@Scott_Helme)2020年7月2日。
这种做法并不是闻所未闻的,尽管正如一些人指出的那样,这是一个非常糟糕的想法,非营利组织并不是为了支持它而成立的。
infosec biz Eset的杰克·摩尔若有所思地说,这可能是某种严重出错的测试,他补充道:虽然没有借口,但这再次提醒我们,测试是一个全面而彻底的过程,尤其是在与金融机构打交道的时候。
我们已经要求巴克莱做出解释,它只会说:我们非常认真地履行保护客户数据的责任,这是头等大事。我们想让我们的客户放心,他们的数据不会因为这个错误而面临风险。
The Register-独立于科技界的新闻和观点。情况发布的一部分