Barclays Bank уличили в использовании «Архива Интернета» в качестве CDN
Barclays Bank использовал цифровой архив World Wide Web, основанный «Архивом Интернета», в качестве сети доставки содержимого.
Это открытие было сделано пользователем твиттера @immunda:
Он смог связаться с поддержкой банка, и там пообещали исправить ситуацию.
The Register провел свою проверку, и выяснилось, что банк, действительно, извлекает файл из этого URL в «Архиве Интернета»: web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js.
То есть, если web.archive.org выйдет из строя, то, вероятно, перестанет также работать веб-сайт Barclays. Однако хуже, если кому-то удастся изменить файл JS по этому URL-адресу. В частности, файлы JavaScript часто используют при атаках в группе Magecart, которая занимается кражей финансов.
Профессор Алан Вудворд из Университета Суррея подтвердил существование такой опасности: «Это та вещь, на которой будут процветать атаки Magecart».
Другой исследователь Скотт Хелме попытался выяснить, почему Barclays допускает такой небезопасный сценарий:
This is of course possible because they have no CSP on their website so devs and anyone else are free to add 3P JS without any restriction: pic.twitter.com/6df4tLyDac
— Scott Helme (@Scott_Helme) July 2, 2020
Джейк Мур из Infosec biz Eset считает, что это могла быть ошибка, допущенная при тестах. Он добавил: «Это не оправдание, это еще одно напоминание о том, что тестирование — тщательный процесс, особенно в случае с финансовым учреждением».
В Barclays же заявили: «Мы очень серьезно относимся к защите данных клиентов, и это является главным приоритетом. Мы хотим заверить наших клиентов, что их данные не подверглись риску в результате этой ошибки».
См. также:
