大型企業的網絡保安無論有多強,在一些需要外判製作的部分,仍然容易出現漏洞。最近財經雜誌 Forbes 就被發現在訂閱網頁中,被嵌入惡意代碼,駭客可以用來盜取讀者的信用卡資料。
惡意代碼並非直接從外部加入到伺服器之中,而是透過入侵第三方的供應商,讓他們為客戶製作的網頁無聲無息之中嵌入惡意代碼。今次出事的是媒體服務供應商 Picreel,他們的網絡保安沒有 Forbes 的強,卻由於 Forbes 是他們的客戶,只需要入侵 Picreel 就可以影響其客戶的網頁。駭客組織 Magecart 就是使用這個方式加入 Obfuscate Javascript 盜取資料,而 Forbes 方面則完全沒有出現被入侵的記錄。
之前 Magecart 已經用類似的方法向 Newegg、Ticketmaster 和英國航空進行攻擊,大量相關客戶的資料都被盜取。雖然網絡安全公司 Bad Packets 發現問題後已經向 Forbes 部機,但在修復之前相信已經有讀者的信用卡資料被盜。大型企業外判網頁製作等工序仍然非常普遍,類似的攻擊相信會繼續出現,要避免類似事件出現,唯有對於外判製作的元件多加檢查,避免源頭受感染令網絡保安形同虛設。
來源:The Register