Saugumo tyrinėtojas sprendžia „Ticketmaster“ svetainės kreditinių kortelių iššūkį

„Live Nation“ pramogos

„Ticketmaster“ neseniai turėjo ištaisyti gana rimtą pažeidimą, dėl kurio gali nutekėti kelių tūkstančių klientų kreditinių kortelių duomenys. Jie labai stengėsi ištaisyti problemą, tačiau vienas asmuo mano, kad jis išsprendė tai, kas pirmiausia paskatino atakas.

Kevinas Beaumontas, vienas geriausių JK skaitmeninio saugumo tyrėjų, mano, kad žino, koks buvo atakos vektorius. „Inbenta“ pateikė pokalbių robotą žiniatinklio valdytojams, kuris veikia paskambindamas „JavaScript“ failą iš pačios „Inbenta“ nuotolinio serverio.

Šiam konkrečiam „JavaScript“ fragmentui paskambinti buvo naudojama viena HTML eilutė. Beaumontas manė, kad „Inbent“ suteikė „Ticketmaster“ vieną „JavaScript“ vienos linijos liniją, kurią jie vėliau galėjo naudoti savo mokėjimo puslapyje nepranešę „Inbenta“ technikams. Kadangi kodas dabar buvo „Ticketmaster“ mokėjimų apdorojimo svetainėje, jis buvo funkciškai įdėtas tarp visų kredito kortelių operacijų, vykstančių per šią svetainę.

Tada pagal „Beaumont“ teoriją „JavaScript“ kodas gali būti vykdomas kliento naršyklėje iš to paties puslapio, kuriame buvo jų kreditinės kortelės informacija. Kažkas turi pakeisti kodą ir suteikti jam įgaliojimus tai padaryti.

Jo tyrimai taip pat rodo, kad kovos su kenkėjiškų programų įrankiai atliko savo darbą. Kai kuri saugos programinė įranga galėjo pradėti žymėti scenarijų kelis mėnesius, kol „Ticketmaster“ agentai pranešė apie pažeidimą. Pats „JavaScript“ failas, matyt, buvo įkeltas į kai kuriuos grėsmės žvalgybos įrankius, o tai yra daugiau nei tikėtina, kad jie sugebėjo laiku sugauti pažeidimą.

Kiti ekspertai išreiškė susirūpinimą dėl „JavaScript“ bibliotekų priklausomybės ir kaip tai susiję su tokio pobūdžio pažeidimais. Tapo įprasta, kad programuotojai naudoja „git“ saugyklas spręsdami trečiųjų šalių priklausomybės problemas, kad galėtų naudoti tam tikras „JavaScript“ sistemas, kurios palengvina jų darbą.

Nors tai yra efektyvus pakartotinio kodo naudojimo būdas, yra rizika, kad kai kuriose iš šių priklausomybių gali būti kažkas piktybiško. Daugelis šių saugyklų kartais tampa krekerių aukomis, kurios taip pat piktnaudžiauja, o tai reiškia, kad jie gali išversti į kitas neaudituoto kodo vietas, kad rastų kelią kitaip teisėtiems pagrindams.

Todėl kai kurie nori daugiau dėmesio skirti griežtoms kodų audito procedūroms, kad būtų sumažinta tokio pobūdžio problemų rizika.