6 июля

Barclays Bank уличили в использовании «Архива Интернета» в качестве CDN

Информационная безопасностьJavaScriptФинансы в IT
image

Barclays Bank использовал цифровой архив World Wide Web, основанный «Архивом Интернета», в качестве сети доставки содержимого.

Это открытие было сделано пользователем твиттера @immunda:


Он смог связаться с поддержкой банка, и там пообещали исправить ситуацию.

The Register провел свою проверку, и выяснилось, что банк, действительно, извлекает файл из этого URL в «Архиве Интернета»: web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js.

То есть, если web.archive.org выйдет из строя, то, вероятно, перестанет также работать веб-сайт Barclays. Однако хуже, если кому-то удастся изменить файл JS по этому URL-адресу. В частности, файлы JavaScript часто используют при атаках в группе Magecart, которая занимается кражей финансов.

Профессор Алан Вудворд из Университета Суррея подтвердил существование такой опасности: «Это та вещь, на которой будут процветать атаки Magecart».

Другой исследователь Скотт Хелме попытался выяснить, почему Barclays допускает такой небезопасный сценарий:


Джейк Мур из Infosec biz Eset считает, что это могла быть ошибка, допущенная при тестах. Он добавил: «Это не оправдание, это еще одно напоминание о том, что тестирование — тщательный процесс, особенно в случае с финансовым учреждением».

В Barclays же заявили: «Мы очень серьезно относимся к защите данных клиентов, и это является главным приоритетом. Мы хотим заверить наших клиентов, что их данные не подверглись риску в результате этой ошибки».
См. также:

Теги:банкивеликобританияархив интернетаcdnjavascriptbarclays
Хабы: Информационная безопасность JavaScript Финансы в IT
+14
4,5k 2
Комментарии 14
Лучшие публикации за сутки

Партнерские материалы

Разместить