更新されたバークレイズ銀行は、Javascript ファイルを提供するために、インターネット アーカイブの Wayback Machine を「コンテンツ配信ネットワーク」として使用していたようです。
この奇妙な発見はツイッターユーザーの@immunda氏によってなされた。同氏は木曜日、英国の金融機関がインターネットアーカイブからJSを呼び出していたことを発見した。
クリックして拡大
バークレイズの自動Twitter DMチャットボットとの不毛な格闘の直後、彼は人間と連絡が取れ、その驚くべきエラーを修正すると約束したと発表した。
問題のハウラーは、The Registerの調査によると、インターネット アーカイブの次の URL からファイルを取得しているようです。
web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js
web.archive.org がダウンすれば、おそらくバークレイズのウェブサイトも機能しなくなるでしょう。さらに悪いことに、もし誰かがその URL の JavaScript ファイルを変更できれば、何でも好きなように挿入できてしまうのです。
JS は、Magecart の金融信用情報を盗む集団にとって、特にお気に入りの攻撃ベクトルです。
サリー大学のアラン・ウッドワード教授はThe Register紙に次のように語った。「これはまさにMagecart攻撃が成功しやすい類のものだ。結局のところ、他のサイトから取得したものも含め、すべての資産を統合してサイトの安全性を確保するのは組織であり、それは自社のサイトが何で構成されているかを把握していなければ実現できない。」
同氏はさらにこう続けた。「Javascriptファイルや、あるいはその他のファイルのような重要な資産を取り込むために、誰がインターネット アーカイブを利用するだろうか?」
教授は私たちに、情報セキュリティ研究者のスコット・ヘルム氏のツイッターのスレッドを紹介してくれた。ヘルム氏は、バークレイズがなぜこのような明らかに愚かなことをしているのかを解明するために徹底的に調査した。
また、SRI は存在しないため、インターネット アーカイブがキーロガー、クリプトジャッキング JS、悪意のあるリダイレクト、DOM の書き換え、MageCart 風のクレジットカード スキマーの挿入などを提供したければ、すべて公正なゲームになります 😧 pic.twitter.com/3OPFR2nGFW
— スコット・ヘルム(@Scott_Helme)2020年7月2日
私たちはヘルメ氏に、彼の調査結果について 280 文字以外の言葉で意見を述べてもらいました。
この慣行は前代未聞ではないが、一部の人が指摘しているように、これは非常に悪い考えであり、非営利団体はこれを支援するようには設立されていない。
情報セキュリティ企業Esetのジェイク・ムーア氏は、これは何らかのテストがひどく失敗したものかもしれないと語り、「言い訳にはならないが、特に金融機関を相手にする場合、テストが完全かつ徹底したプロセスである理由を改めて思い知らされるものだ」と付け加えた。
バークレイズに説明を求めたところ、「当社はお客様のデータ保護を極めて重く受け止めており、最優先事項としています。このエラーによってお客様のデータが危険にさらされたわけではないことをご安心ください。」とのみ回答されました。®
7月6日8時38分UTCに更新。
インターネット アーカイブのウェイバック マシンのディレクターであるマーク グラハム氏は、次のように語っています。
