专家说,支付处理应与不必要的代码隔离
更新(26/10)英国航空公司透露了185,000名客户可能受到4月和6月的违约所作的影响。该航空公司增加了244,000名9月份的380,000名受害者,只有244,000人被盗。
植入英国航空公司(BA)付款页面的流氓JavaScript代码被归咎于最近的漏洞,该漏洞已经离开了航空公司。
BA录取了上周,从8月21日至9月5日,迄今已于15天内从其网站偷走了38万名客户的个人数据和支付卡信息。
航空公司表示,由未命名但预先存在的安全提供者检测到的违规事件已经解决。
违规,报道在信息专员办公室(ICO)的数据隐私看门狗中,已成为持续的国家犯罪机构导向警方调查的主题。借鉴了对黑客原因发表评论的拒绝评论。
安全公司风险问题有提出证据但是,通过Modernizr JavaScript库的后托版本将卡级级别的代码推到BA的付款页面上。
根据Riskiq的说法,此代码将恶意脚本上传到由骗子控制的骗子控制的影子服务器,这基于其对最新的Web爬网数据的分析。beplay体育能用吗
攻击者代码由BA的行李声称信息页加载,作为有针对性攻击的一部分,精心旨在融入航空公司的合法支付加工基础设施。
BA的Web和移动应用中的类似功能也被利用来定位移beplay体育能用吗动和基于互联网的票据购买。
analiriq在一个名为Magecart的黑客群体上责备他的哈士议员,以前归咎于七月赛车漏洞,这导致了40,000张卡详细信息。
Magecart以前的贸易中的股票一直是将第三方脚本颠倒了数百个网站。BA Hack更有针对性。
“Magecart操作员直接损害了英国航空公司网站,并计划围绕该网站的独特结构和功能进行攻击,”风险赛说。
两个黑客都说明了危险的在敏感的网页上运行第三方JavaScript - 许多公司在付款页面上运行分析和客户服务工具beplay体育能用吗,有时即使没有在付款卡领域的隔离。
课程
萨里大学的Alan Woodward教授敦促开发人员远离在网站上运行第三方JavaScript的实践。
伍德沃德教授告诉每日SWbeplay2018官网IG.:“PCI [支付卡行业]标准警告大量常见攻击,包括代码注入,并指导网站运营商需要遵循最佳做法以避免此类风险。beplay体育能用吗这将包括确保支付处理从任何不必要的代码隔离。“
PCI数据安全程序中有很多关于在传输中保护卡数据(使用TLS)和存储(加密IT),但标准没有特别解决这种类型的攻击。根据伍德华教授,它只解决了更好地已知的代码注入和跨站点类型攻击。
“PCI所做的一件事是定期的安全审计完成,”他说。“在现代系统中,大多数人将考虑最佳做法是监视文件更改。这将抓住了这次攻击。“
Leigh-Anne Galloway,网络安全性弹性领先于正技术和Payment安全专家,告诉每日SWbeplay2018官网IG.:“它应该在范围内,因为它[标准]处理存储和传输,但PCI DSS(数据安全标准)没有明确地解决此漏洞。”
Magecart信用卡Skimming Group仍然非常活跃,威胁到提供在线支付设施的所有组织。
只有本周,Feedify JavaScript库遭到了带有Magecart的标志的代码。
在据报道之前稍后返回了代码。
基于印度的推送通知工具开发人员尚未响应对事件发表评论的要求。