4 Luglio 2020 - Tempo di lettura: 4 minuti
Sembra che Barclays Bank abbia utilizzato non meno della Wayback Machine di Internet Archive come "rete di distribuzione di contenuti" per servire un file Javascript.
La bizzarra scoperta è stata fatta dall'utente di Twitter @immunda, che giovedì ha scoperto che l'istituto finanziario britannico stava chiamando JS dall'archivio di Internet.
web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js
Se web.archive.org fallisse, presumibilmente avrebbe anche rotto il sito web di Barclays. Peggio ancora, se qualcuno fosse riuscito a cambiare il file JS in quell'URL, avrebbe potuto iniettare ... beh, qualunque cosa gli piacesse.
JS è il vettore d'attacco preferito, tra le altre cose, dalla banda di furti di crediti finanziari di Magecart.
Il professor Alan Woodward dell'Università del Surrey ha dichiarato a The Register:
"È proprio il genere di cose su cui un attacco Magecart potrebbe prosperare. Alla fine, è l'organizzazione che integra tutte queste risorse, comprese quelle tratte da altri siti, per garantire che dispongano di un sito sicuro, e ciò può essere vero solo se sai cosa comprende il tuo sito."
Ha continuato: "Chi userebbe Internet Archive per disegnare una risorsa importante come un file Javascript o qualsiasi altro file?"
Il professore ci ha indicato una discussione su Twitter del ricercatore di infosec Scott Helme, che è andato nella tana del coniglio per cercare di capire perché Barclays stesse facendo una cosa così ovviamente stupida.
Jake Moore di Infosec Biz Eset ha pensato che potrebbe essere stato un test di qualche tipo andato storto, aggiungendo: "Sebbene non ci siano scuse, è ancora un altro promemoria del perché il test è un processo completo e approfondito soprattutto quando si tratta di un istituto finanziario".
The Register ha chiesto a Barclays la loro spiegazione e dicono:
"Ci assumiamo la nostra responsabilità di proteggere i dati dei nostri clienti in modo estremamente serio ed è una priorità assoluta. Vogliamo rassicurare i nostri clienti che i loro dati non erano a rischio a causa di questo errore ".