Avrupa Uzay Ajansı'nın resmi web mağazası, kasada sahte bir şerit ödeme sayfası oluşturan bir parça JavaScript kodu yüklemeye başladığında saldırıya uğradı.
10 milyar avrodan fazla bir bütçeyle, Avrupa Uzay Ajansı'nın (ESA) misyonu, astronotları eğiterek ve evrenin gizemlerini keşfetmek için roket ve uydu inşa ederek uzay faaliyetlerinin sınırlarını genişletmektir.
ESA ürünlerini satmak için lisanslı web mağazası şu anda kullanılamıyor ve bunun “geçici olarak yörünge dışında” olduğunu gösteriyor.
Kötü niyetli senaryo dün ajansın sitesinde göründü ve satın alma işleminin son aşamasında sağlanan ödeme kartı verileri de dahil olmak üzere müşteri bilgilerini topladı.
E-ticaret güvenlik şirketi Sansec dün kötü niyetli senaryoyu fark etti ve mağazanın ajansın çalışanları için risk oluşturabilecek ESA sistemleriyle entegre olduğu konusunda uyardı.
SANSEC, bilgileri eksfiltratlama alanının, ESA ürünlerini satan meşru mağaza tarafından kullanılan ancak farklı bir üst düzey alana (TLD) sahip olduğu için aynı ada sahip olduğunu buldu.
Avrupa ajansının resmi dükkanı .com TLD'sinde “Esaspaceshop” i kullanırken, hacker, ESA'nın mağazasının kaynak kodunda görünür olduğu gibi .pics TLD'de (yani esaspaceshop [.] Pics) aynı adı kullanıyor:
Komut dosyası, müşteriler bir satın alma işlemini tamamlamaya çalıştığında sahte bir şerit ödeme sayfası yükleyen Stripe SDK'dan gizlenmiş HTML kodu içeriyordu. Sahte şerit sayfasının, özellikle resmi ESA web mağazasından servis edildiğini görünce şüpheli görünmediğini belirtmek gerekir.
Bir web uygulaması güvenlik şirketi olan Source Defense Research, Sansec'in bulgularını doğruladı ve ESA'nın resmi web mağazasına yüklenen sahte şerit ödeme sayfasını yakaladı.
Dün, BleepingComputer uzlaşma hakkında ayrıntılar için ESA'ya ulaştı. Bugün bir cevap almadan önce, web mağazasının artık sahte şerit ödeme sayfasına hizmet etmediğini, ancak kötü amaçlı komut dosyasının sitenin kaynak kodunda hala göründüğünü fark ettik.
Sonraki iletişimde ESA, mağazanın altyapısında barındırılmadığını ve üzerindeki verileri yönetmediğini söyledi çünkü ajans verileri yönetmediği için verileri yönetmiyor.
Bu, ESA’nın alanı (ESA.Int) ve web mağazası için tüm ayrıntıları gösteren basit bir Whois araması ile teyit edilebilir, burada iletişim verilerinin gizlilik için düzeltildiği.
Güncelleme [27 Aralık]: Kötü niyetli JavaScript uzantısı ESA'nın resmi web mağazasından kaldırıldı.
Bilgisayar korsanları Zagg Müşterilerin Kredi Kartlarını Üçüncü Taraf İhlalinde Çalın
WPForms Hatası, milyonlarca WordPress sitesinde şerit geri ödemelerine izin verir
Bangkok büstleri sms blaster bir minibüsden 1 milyon aldatmaca metin göndererek
Yeni Hayalet Tap Saldırısı, para çalmak için nfc mobil ödemeleri kötüye kullanıyor
Apple, Intel tabanlı Mac'lere yapılan saldırılarda kullanılan iki sıfır günü düzeltiyor
Kaynak: Bleeping Computer