.jpeg)
99% dei siti Web a rischio di attacco tramite plug-in JavaScript
15 Luglio 2020 - Tempo di lettura: 8 minuti
Il sito Web medio include contenuti di 32 diversi programmi JavaScript di terze parti, secondo i nuovi studi.
Nuovi programmi di ricerca come Google Analytics e altri plug-in espongono i siti Web a Magecart, formjacking, script tra siti e carte di credito e altri attacchi, come dimostrano nuove ricerche.
Un rapporto pubblicato oggi da Tala Security ha rilevato che questo tipo di attacchi sfrutta integrazioni JavaScript vulnerabili in esecuzione su circa il 99% dei siti Web del mondo. E mentre il 30% dei siti Web analizzati ha implementato nuove politiche di sicurezza - un aumento del 10% rispetto al 2019 - solo l'1,1% dei siti Web ha trovato una sicurezza efficace, un calo dell'11% rispetto al 2019.
"Ciò indica che mentre il volume di distribuzione è aumentato, l'efficacia è diminuita drasticamente", afferma Aanand Krishnan, fondatore e CEO di Tala Security. "Gli hacker hanno il sopravvento in gran parte perché non stiamo attuando una difesa efficace".
Krishnan aggiunge che senza efficaci controlli sui criteri, ogni parte di codice in esecuzione sulla maggior parte dei siti Web può modificare, rubare o sottrarre informazioni tramite attacchi sul lato client eseguiti da JavaScript. Questi attacchi sono potenti per gli hacker perché una volta che attaccano uno strumento di terze parti, possono sfruttarlo su qualsiasi altro sito Web in cui tale strumento viene distribuito.
"In molti casi, questa perdita di dati avviene tramite applicazioni autorizzate e legittime, all'insaputa del proprietario del sito Web", afferma Krishnan. "Il nostro rapporto ha rilevato che il rischio di dati è ovunque e che raramente vengono applicati controlli efficaci. Ma proprio come i problemi di sicurezza della rete fissa del settore della sicurezza con SSL e TLS, faremo lo stesso con queste integrazioni di terze parti implementando controlli di sicurezza e funzionanti con l'industria per sviluppare soluzioni basate su standard".
Il rapporto, che ha monitorato la posizione di sicurezza dei primi 1.000 siti Web di Alexa, ha rilevato che il sito Web medio include contenuti di 32 diversi programmi JavaScript di terze parti, leggermente in aumento rispetto al 2019.
Di grande preoccupazione: nonostante il numero crescente di violazioni di alto profilo, i moduli utilizzati per completare gli ordini sul 92% dei siti Web espongono i dati a una media di 17 domini.
"Quindi questo significa che i dati non vengono semplicemente esposti sul sito Web principale, sul sito del mittente o presso la stanza di compensazione dei pagamenti, vengono esposti in media altri 15 domini, il che espone notevolmente il rischio", afferma Mark Bermingham, vice presidente di marketing presso Tala. "Abbiamo visto casi in cui gli hacker hanno cambiato codice e addirittura rimosso interi siti Web".
La natura della minaccia sottolinea che i fornitori di JavaScript di terze parti sono pronti ad attaccare, dice, e questi stessi fornitori di terze parti sono stati molto aggressivi nel raccogliere i dati degli utenti - qualcosa che dovrebbe interessare le principali società di e-commerce perché ora sono soggetti al Regolamento generale sulla protezione dei dati (GDPR) e al California Consumer Privacy Act (CCPA) e potrebbe subire una forte sanzione.
Hank Schless, senior manager delle soluzioni di sicurezza di Lookout, osserva che i dati mostrano che l'apertura di piattaforme di una società a terzi comporta maggiori rischi, soprattutto in termini di esposizione a GDPR e CCPA.
"Con la privacy al centro dell'attenzione in questi giorni, i team di sicurezza devono valutare correttamente la posizione di sicurezza di qualsiasi integratore di terze parti prima di concedere loro l'accesso ai dati dei clienti", afferma Schless. "D'altro canto, gli integratori comprendono che hanno bisogno di controlli di sicurezza adeguati se vogliono avere successo in un clima simile".
Thomas Hatch, co-fondatore e CTO di SaltStack, afferma di essere preoccupato per le diminuzioni segnalate nella gestione efficace della sicurezza.
"Quando vediamo un declino di questa natura, si evidenzia che esistono problemi fondamentali su come viene gestita la sicurezza informatica oggi", afferma Hatch. "Questi tipi di attacchi e vulnerabilità non sono nuovi, ma sono più presenti che mai. Se vogliamo superare questi problemi, dobbiamo ripensare il modo in cui implementiamo le nostre applicazioni, ripensare il modo in cui proteggiamo le nostre applicazioni e ripensare il modo in cui gestiamo, contribuiamo e supportare la vasta gamma di progetti open source su cui è costruito il Web moderno."
