Пользователи обнаружили, что банк Barclays использовал сервис Wayback Machine, принадлежащий «Архиву интернета», для загрузки Javascript-файла.

Странное открытие сделал сотрудник Raspberry Pi Foundation, известный в Twitter под ником Immunda. Он обратил внимание, что один из крупнейших в Великобритании и мире банков обращается к «Архиву интернета» по адресу web.archive[.]org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js для загрузки какого-то JS-скрипта.

Исследователь долго (и безуспешно) общался с автоматическим чат-ботом банка, но затем сообщил, что все-таки сумел дозвониться до живого человека, который пообещал исправить эту странную и потенциально опасную проблему.

Дело в том, что если Wayback Machine вдруг выйдет из строя, вероятно, из-за этого сломается и сайт Barclays. Хуже того, если кому-то удастся изменить Javascript-файл по указанному адресу, он сможет внедрить на сайт банка что угодно. К примеру, JS-скрипты являются излюбленным орудием хакеров для атак MageCart.

Британский ИБ-специалист Скотт Хелме (Scott Helme)  попытался разобраться в том, почему сотрудники Barclays допустили столь очевидную и глупую ошибку. Он предполагает, что на сайте банка нет CSP, поэтому все могут свободно добавлять в код сторонние Javascript-файлы без каких-либо ограничений.­

Глава Wayback Machine Марк Грэм (Mark Graham) прокомментировал ситуацию так:

«Миссия Wayback Machine — помочь сделать интернет более полезным и надежным. Мы часто удивляемся тому, насколько творчески люди подходят к использованию Wayback Machine для выполнения этой миссии. Особенно журналисты, студенты, исследователи, ученые, фактчекеры, активисты и широкая общественность в целом. Но, как правило, не банки!

Очевидно, что кто-то в Barclays допустил ошибку (кто из нас такого не делал!). Но если этот инцидент поможет большему количеству людей узнать о бесплатных услугах, которые предлагает Wayback Machine, это принесет пользу. Вперед!».

Фото: Immunda

Оставить мнение