Истраживач безбедности решава проблеме са кредитним картицама на веб локацији Тицкетмастер

Ливе Натион Ентертаинмент

Тицкетмастер је недавно морао да исправи релативно озбиљно кршење, које би потенцијално могло довести до цурења неколико хиљада података о кредитним картицама клијената. Напорно су радили на исправљању проблема, али један појединац мисли да је прво решио оно што је подстакло нападе.

Кевин Беаумонт, један од најбољих британских истраживача дигиталне безбедности, верује да зна шта је био вектор напада. Инбента је обезбедила бота за ћаскање за вебмастере који ради позивањем ЈаваСцрипт датотеке са сопственог удаљеног сервера компаније Инбента.

За позивање овог одређеног дела ЈаваСцрипт-а коришћен је један ред ХТМЛ-а. Беаумонт је изнео мишљење да је Инбент обезбедио Тицкетмастеру једну ЈаваСцрипт линију коју је тада могао да користи на својој страници за плаћање без обавештавања Инбентиних техничара. Будући да се код сада налазио на веб локацији за обраду плаћања Тицкетмастер-а, функционално је постављен усред свих трансакција кредитним картицама које пролазе кроз ту локацију.

ЈаваСцрипт код би тада могао, према Беаумонт-овој теорији, да се изврши у прегледачу клијента са исте странице на којој су биле информације о њиховој кредитној картици. Неко је сигурно променио код и дао му овлашћење да учини нешто злонамерно када је то учинио.

Чини се да његово истраживање такође указује да су алати против малвера радили свој посао. Неки безбедносни софтвер успео је да започне са означавањем скрипте неколико месеци пре него што су агенти Тицкетмастера објавили да је дошло до кршења. Сама ЈаваСцрипт датотека очигледно је отпремљена у неке алате за обавештавање о претњама, што је више него вероватно како су успели да на време ухвате кршење.

Други стручњаци изразили су забринутост због зависности од библиотеке ЈаваСцрипт и како се ово односи на ову врсту кршења. Кодери су постали уобичајени да користе гит спремишта за решавање проблема зависности независних произвођача како би користили одређене ЈаваСцрипт оквире који им олакшавају посао.

Иако је ово ефикасан метод поновне употребе кода, постоји ризик да неке од ових зависности могу садржати нешто злонамерно. Многа од ових спремишта повремено су жртве крекера који их такође злоупотребљавају, што значи да могу превести на додатна места за неревидирани код како би пронашли пут у иначе легитимне базе.

Као резултат тога, неки изражавају жељу за више пажње строгим поступцима ревизије кода како би се смањио ризик од таквих врста проблема.