IT業界資訊媒體

【別怪他】Forbes 財經網站失守 供應商漏洞燒埋身

美國財經雜誌 Forbes 網站失陷,早兩日被黑客集團 Magecart 喺訂閱頁面嵌入 Javascript 惡意代碼,偷偷記錄低該段期間以信用卡付款嘅訂戶,令 Forbes 網站被迫關閉。點解咁唔小心?咪又係衰喺供應鏈攻擊手上囉。

黑客組織專偷信用卡

有追開我哋嘅報導,應該都好清楚供應鏈攻擊(supply chain attack)係乜嘢一回事,早前 ASUS 電腦被黑客組織 ShadowHammer 入侵,將帶有惡意軟件嘅更新包替換咗官網上原裝檔案,結果令 100 萬部電腦中招。呢種由源頭發放病毒嘅攻擊手法最近真係老是常出現,而今次中招嘅就輪到 Forbes 網站,事關佢哋幫襯嘅媒體服務供應商 Picreel 上星期被發現洩漏出千幾個客戶名單,當中包括 Forbes 網站,黑客組織 Magecart 於是就利用 Picreel 軟件嘅漏洞,揸住張名單嚟揀對象攻擊,透過喺網站嵌入混淆(obfuscate) Javascript ,神不知鬼不覺地盜取網民輸入嘅信用卡資料。

Magecart 係一個專門盜取信用卡資料嘅黑客組織,旗下至少有 11 個小團體,功力不一,但就曾成功向英國航空、Ticketmaster 及 Newegg 等網站發動攻擊,盜取客戶嘅個人私隱。雖然今次事件好快俾網絡安全公司 Bad Packets 嘅首席研究員 Troy Mursch 發現,但由於通知唔到 Forbes 嘅職員,所係相信喺 Forbes 發現被嵌入惡意代碼而停止服務前,已有部分網民喺訂雜誌時中招。有網絡安全專家就解釋,現時網站營運傾向採用外判供應商,例如唔少網站嘅網上付款功能都係外判,網站管理員未必能夠清楚掌握外判商編寫代碼上嘅漏洞,再加上比較細規模嘅外判商大多數都無資源做好保安工作,於是就成為黑客攻擊大企業嘅最佳跳板,今次事件真係唔知要向邊個問責喇。

資料來源:https://bit.ly/2WbCp4z

相關文章:【密食當三番?】6大原因 中小企係黑客心目中嘅魚腩!