Пользователи обнаружили, что банк Barclays использовал сервис Wayback Machine, принадлежащий «Архиву интернета», для загрузки Javascript-файла.
Странное открытие сделал сотрудник Raspberry Pi Foundation, известный в Twitter под ником Immunda. Он обратил внимание, что один из крупнейших в Великобритании и мире банков обращается к «Архиву интернета» по адресу web.archive[.]org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js для загрузки какого-то JS-скрипта.
Hey @BarclaysUK; maybe don't use @internetarchive as a CDN for your JS assets? ¯_(ツ)_/¯ pic.twitter.com/NwlbkMrwpc
— Phil (@immunda) July 2, 2020
Исследователь долго (и безуспешно) общался с автоматическим чат-ботом банка, но затем сообщил, что все-таки сумел дозвониться до живого человека, который пообещал исправить эту странную и потенциально опасную проблему.
Дело в том, что если Wayback Machine вдруг выйдет из строя, вероятно, из-за этого сломается и сайт Barclays. Хуже того, если кому-то удастся изменить Javascript-файл по указанному адресу, он сможет внедрить на сайт банка что угодно. К примеру, JS-скрипты являются излюбленным орудием хакеров для атак MageCart.
Британский ИБ-специалист Скотт Хелме (Scott Helme) попытался разобраться в том, почему сотрудники Barclays допустили столь очевидную и глупую ошибку. Он предполагает, что на сайте банка нет CSP, поэтому все могут свободно добавлять в код сторонние Javascript-файлы без каких-либо ограничений.
Also, there's no SRI, so if the Internet Archive want to serve up a keylogger, cryptojacking JS, hostile redirect, rewrite the DOM or insert a credit card skimmer à la MageCart, it's all fair game ? pic.twitter.com/3OPFR2nGFW
— Scott Helme (@Scott_Helme) July 2, 2020
Глава Wayback Machine Марк Грэм (Mark Graham) прокомментировал ситуацию так:
«Миссия Wayback Machine — помочь сделать интернет более полезным и надежным. Мы часто удивляемся тому, насколько творчески люди подходят к использованию Wayback Machine для выполнения этой миссии. Особенно журналисты, студенты, исследователи, ученые, фактчекеры, активисты и широкая общественность в целом. Но, как правило, не банки!
Очевидно, что кто-то в Barclays допустил ошибку (кто из нас такого не делал!). Но если этот инцидент поможет большему количеству людей узнать о бесплатных услугах, которые предлагает Wayback Machine, это принесет пользу. Вперед!».
Фото: Immunda