Barclays Bank уличили в использовании «Архива Интернета» в качестве CDN

image

Barclays Bank использовал цифровой архив World Wide Web, основанный «Архивом Интернета», в качестве сети доставки содержимого.

Это открытие было сделано пользователем твиттера @immunda:


Он смог связаться с поддержкой банка, и там пообещали исправить ситуацию.

The Register провел свою проверку, и выяснилось, что банк, действительно, извлекает файл из этого URL в «Архиве Интернета»: web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js.

То есть, если web.archive.org выйдет из строя, то, вероятно, перестанет также работать веб-сайт Barclays. Однако хуже, если кому-то удастся изменить файл JS по этому URL-адресу. В частности, файлы JavaScript часто используют при атаках в группе Magecart, которая занимается кражей финансов.

Профессор Алан Вудворд из Университета Суррея подтвердил существование такой опасности: «Это та вещь, на которой будут процветать атаки Magecart».

Другой исследователь Скотт Хелме попытался выяснить, почему Barclays допускает такой небезопасный сценарий:

This is of course possible because they have no CSP on their website so devs and anyone else are free to add 3P JS without any restriction: pic.twitter.com/6df4tLyDac

— Scott Helme (@Scott_Helme) July 2, 2020


Джейк Мур из Infosec biz Eset считает, что это могла быть ошибка, допущенная при тестах. Он добавил: «Это не оправдание, это еще одно напоминание о том, что тестирование — тщательный процесс, особенно в случае с финансовым учреждением».

В Barclays же заявили: «Мы очень серьезно относимся к защите данных клиентов, и это является главным приоритетом. Мы хотим заверить наших клиентов, что их данные не подверглись риску в результате этой ошибки».

См. также:

© Habrahabr.ru