大型企业的网络安全无论有多强,在一些需要外包制作的部分,仍然容易出现漏洞。最近财经杂志《富比士》(Forbes)就发现订阅网页被嵌入恶意程式码,骇客可用来盗取读者的信用卡资料。
恶意代码并非直接从外部加入服务器,而是透过入侵第三方供应商,让他们为客户制作的网页无声无息嵌入恶意程式码。这次出事的是媒体服务供应商 Picreel,他们的网络安全没有《富比士》强,却由于《富比士》是他们的客户,只需要入侵 Picreel 就可以影响客户网页。骇客组织 Magecart 就是使用这个方式加入 Obfuscate Javascript 盗取资料,而《富比士》完全没有出现被入侵的纪录。
之前 Magecart 已用类似方法攻击 Newegg、Ticketmaster 和英国航空,大量客户资料都被盗取。虽然网络安全公司 Bad Packets 发现问题后已向《富比士》回报,但修复之前已有读者的信用卡资料被盗。大型企业外包网页制作等工序仍然非常普遍,类似攻击相信会继续出现,要避免类似事件出现,唯有多检查外包制作的东西,避免源头受感染,让网络安全形同虚设。
- Breaking news: Bank-card-slurping malware sneaks into Forbes’ mag subscription website
(本文由 Unwire Pro 授权转载;首图来源:pixabay)