Nalulutas ng Mananaliksik sa Seguridad ang Ticketmaster Website Credit Card Quandry

Seguridad / Nalulutas ng Mananaliksik sa Seguridad ang Ticketmaster Website Credit Card Quandry 2 minuto basahin

Live Nation Entertainment



Kamakailan lamang na itama ng Ticketmaster ang isang medyo seryosong paglabag na potensyal na humantong sa pagtagas ng libu-libong mga kredensyal ng credit card. Masipag silang nagtatrabaho sa pagwawasto ng problema, ngunit iniisip ng isang indibidwal na nalutas niya kung ano ang nag-uudyok sa mga atake sa una.

Si Kevin Beaumont, isa sa nangungunang mga mananaliksik sa digital na seguridad ng UK, ay naniniwala na alam niya kung ano ang atake vector. Nagbigay ang Inbenta ng chat bot para sa mga webmaster na gumagana sa pamamagitan ng pagtawag sa isang JavaScript file mula sa sariling remote server ng Inbenta.



Isang solong linya ng HTML ang nagtatrabaho upang tawagan ang partikular na piraso ng JavaScript na ito. Pinili ni Beaumont na ang Inbent ay nagbigay sa Ticketmaster ng isang solong JavaScript na isang liner na maaari nilang magamit sa kanilang pahina ng pagbabayad nang hindi naabisuhan ang mga tekniko ng Inbenta. Dahil ang code ay nasa site na ngayon ng pagpoproseso ng pagbabayad ng Ticketmaster, functionally itong nakalagay sa gitna ng lahat ng mga transaksyon sa credit card na dumaan sa site.



Ang JavaScript code ay maaaring, ayon sa teorya ng Beaumont, maipatupad sa browser ng isang kliyente mula sa parehong pahina kung saan nakabukas ang kanilang impormasyon sa credit card. Ang isang tao ay dapat na nagbago ng code at binigyan ito ng awtoridad na gumawa ng isang bagay na nakakahamak kapag ginawa nila ito.



Ang kanyang pananaliksik ay tila nagpapahiwatig din na ang mga tool na anti-malware ay ginagawa ang kanilang trabaho. Ang ilang software ng seguridad ay nagsimulang mag-flag ng script ilang buwan bago inihayag ng mga ahente ng Ticketmaster na nangyari ang paglabag. Ang file ng JavaScript mismo ay tila nai-upload sa ilang mga tool sa pananakot sa pananakot, na higit sa malamang kung paano nila nahuli ang paglabag sa oras.

Ang iba pang mga dalubhasa ay nagpahayag ng mga alalahanin sa mga dependency sa library ng JavaScript at kung paano ito nauugnay sa ganitong uri ng paglabag. Naging karaniwan para sa mga coder na gumamit ng git repositories upang malutas ang mga problema sa pagtitiwala ng third party upang magamit ang ilang mga balangkas ng JavaScript na nagpapadali sa kanilang trabaho.

Bagaman ito ay isang mahusay na paraan ng muling paggamit ng code, may panganib na ang ilan sa mga dependency na ito ay maaaring magkaroon ng isang nakakahamak sa kanila. Marami sa mga repository na ito ay paminsan-minsang biktima ng mga crackers na maling ginagamit din ang mga ito, na nangangahulugang maaari silang isalin sa mga karagdagang lugar para sa hindi na-audit na code upang makahanap ng isang paraan sa kung hindi man lehitimong mga base.



Bilang isang resulta, ang ilan ay nagpapahayag ng isang nais para sa higit na pansin sa mahigpit na mga pamamaraan sa pag-audit ng code upang mabawasan ang panganib ng mga ganitong uri ng isyu.

Mga tag seguridad sa web