Sembra che Barclays Bank stesse usando la Wayback Machine come "CDN" per alcuni Javascript

Sembra che Barclays Bank stesse usando la Wayback Machine come "CDN" per alcuni Javascript

Sembra che Barclays Bank abbia utilizzato non meno della Wayback Machine di Internet Archive come "rete di distribuzione di contenuti" per servire un file Javascript.

La bizzarra scoperta è stata fatta dall'utente di Twitter @immunda, che giovedì ha scoperto che l'istituto finanziario britannico stava chiamando JS dall'archivio di Internet.

web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js

Se web.archive.org fallisse, presumibilmente avrebbe anche rotto il sito web di Barclays. Peggio ancora, se qualcuno fosse riuscito a cambiare il file JS in quell'URL, avrebbe potuto iniettare ... beh, qualunque cosa gli piacesse.

JS è il vettore d'attacco preferito, tra le altre cose, dalla banda di furti di crediti finanziari di Magecart.

Il professor Alan Woodward dell'Università del Surrey ha dichiarato a The Register:

"È proprio il genere di cose su cui un attacco Magecart potrebbe prosperare. Alla fine, è l'organizzazione che integra tutte queste risorse, comprese quelle tratte da altri siti, per garantire che dispongano di un sito sicuro, e ciò può essere vero solo se sai cosa comprende il tuo sito."

Ha continuato: "Chi userebbe Internet Archive per disegnare una risorsa importante come un file Javascript o qualsiasi altro file?"

Il professore ci ha indicato una discussione su Twitter del ricercatore di infosec Scott Helme, che è andato nella tana del coniglio per cercare di capire perché Barclays stesse facendo una cosa così ovviamente stupida.

Jake Moore di Infosec Biz Eset ha pensato che potrebbe essere stato un test di qualche tipo andato storto, aggiungendo: "Sebbene non ci siano scuse, è ancora un altro promemoria del perché il test è un processo completo e approfondito soprattutto quando si tratta di un istituto finanziario".

The Register ha chiesto a Barclays la loro spiegazione e dicono:

"Ci assumiamo la nostra responsabilità di proteggere i dati dei nostri clienti in modo estremamente serio ed è una priorità assoluta. Vogliamo rassicurare i nostri clienti che i loro dati non erano a rischio a causa di questo errore ".

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.