Live Nation Entertainment
Ticketmaster je pred kratkim moral odpraviti razmeroma resno kršitev, ki bi lahko privedla do uhajanja več tisoč kreditnih kartic strank. Prizadevali so si za odpravo težave, toda en posameznik misli, da je rešil tisto, kar je najprej spodbudilo napade.
Kevin Beaumont, eden največjih britanskih raziskovalcev digitalne varnosti, meni, da ve, kakšen je bil vektor napada. Inbenta je spletnim skrbnikom zagotovila bota za klepet, ki deluje tako, da pokliče datoteko JavaScript iz lastnega oddaljenega strežnika Inbenta.
Za klicanje tega določenega dela JavaScript je bila uporabljena ena vrstica HTML. Beaumont je menil, da je Inbent Ticketmasterju poslal eno samo podlogo JavaScript, ki so jo nato lahko uporabili na svoji plačilni strani, ne da bi o tem obvestili Inbentine tehnike. Ker je bila koda zdaj na spletnem mestu za obdelavo plačil Ticketmaster, je bila funkcionalno postavljena med vse transakcije s kreditnimi karticami, ki gredo skozi spletno mesto.
Po Beaumontovi teoriji bi lahko potem JavaScript kodo izvršili v odjemalčevem brskalniku z iste strani, na kateri so bili podatki o njihovi kreditni kartici. Nekdo je verjetno spremenil kodo in ji dal pooblastilo, da naredi kaj zlonamernega, ko je to storil.
Zdi se, da njegove raziskave kažejo tudi, da so orodja za zaščito pred zlonamerno programsko opremo opravljala svoje delo. Nekatera varnostna programska oprema je lahko začela označevati skript nekaj mesecev preden so agenti Ticketmasterja objavili kršitev. Datoteka JavaScript se je očitno naložila v nekatera orodja za obveščanje o grožnjah, kar je več kot verjetno, kako so lahko pravočasno ujeli kršitev.
Drugi strokovnjaki so izrazili zaskrbljenost glede odvisnosti knjižnice JavaScript in glede tega, kako je to povezano s to vrsto kršitve. Za kodirnike je postalo običajno, da uporabljajo repozitorije git za reševanje težav z odvisnostmi drugih proizvajalcev, da bi lahko uporabili določene okvire JavaScript, ki olajšajo njihovo delo.
Čeprav je to učinkovit način ponovne uporabe kode, obstaja nevarnost, da bi nekatere od teh odvisnosti lahko imele kaj zlonamernega. Mnoga od teh skladišč so občasno žrtve krekerjev, ki jih tudi zlorabljajo, kar pomeni, da lahko prevedejo na dodatna mesta za nerevidirano kodo, da najdejo pot v sicer legitimne baze.
Zaradi tega nekateri izražajo željo po večji pozornosti strogim postopkom revizije kode, da bi zmanjšali tveganje za tovrstne težave.
Oznake spletna varnost
