Live Nation Entertainment
Spoločnosť Ticketmaster nedávno musela napraviť relatívne vážne porušenie, ktoré mohlo viesť k úniku údajov z kreditnej karty niekoľkých tisíc zákazníkov. Usilovne pracovali na náprave problému, ale jeden jednotlivec si myslí, že vyriešil to, čo viedlo k útokom.
Kevin Beaumont, jeden z najlepších britských výskumníkov v oblasti digitálnej bezpečnosti, je presvedčený, že vie, čo bol vektor útoku. Spoločnosť Inbenta poskytla správcom webových stránok chatovací robot, ktorý funguje tak, že volá súbor JavaScript z vlastného vzdialeného servera spoločnosti Inbenta.
Na volanie tohto konkrétneho kódu JavaScript bol použitý jeden riadok HTML. Beaumont sa domnievala, že spoločnosť Inbent poskytla spoločnosti Ticketmaster jednu jednorazovú linku JavaScriptu, ktorú potom mohli použiť na svojej platobnej stránke bez upozornenia technikov spoločnosti Inbenta. Pretože sa tento kód teraz nachádzal na webe spoločnosti Ticketmaster pre spracovanie platieb, bol funkčne umiestnený medzi všetky transakcie kreditnými kartami, ktoré prechádzajú týmto webom.
JavaScriptový kód by sa potom podľa Beaumontovej teórie mohol vykonať v klientovom prehliadači z tej istej stránky, na ktorej boli informácie o jeho kreditnej karte. Niekto musel zmeniť kód a dať mu oprávnenie robiť niečo škodlivé, keď tak urobil.
Zdá sa, že jeho výskum naznačuje, že anti-malware nástroje fungovali dobre. Niektorý bezpečnostný softvér mohol začať označovať skript niekoľko mesiacov predtým, ako agenti spoločnosti Ticketmaster oznámili, že k porušeniu došlo. Samotný súbor JavaScript sa zjavne nahral do niektorých nástrojov na spravodajstvo o hrozbách, čo je viac ako pravdepodobné, ako boli schopní včas zachytiť porušenie.
Iní odborníci vyjadrili znepokojenie nad závislosťami knižníc JavaScript a nad tým, ako to súvisí s týmto druhom porušenia. Stáva sa bežným javom, že kodéri používajú úložiská git na riešenie problémov so závislosťami tretích strán, aby mohli používať určité rámce JavaScriptu, ktoré im uľahčujú prácu.
Aj keď sa jedná o efektívny spôsob opätovného použitia kódu, existuje riziko, že niektoré z týchto závislostí môžu obsahovať niečo škodlivé. Mnohé z týchto úložísk sú príležitostne obeťami crackerov, ktorí ich tiež zneužívajú, čo znamená, že môžu preložiť na ďalšie miesta pre neauditovaný kód, aby našli cestu do inak legitímnych základní.
Vo výsledku niektorí vyjadrujú želanie, aby sa venovala väčšia pozornosť prísnym postupom auditu kódu, aby sa znížilo riziko týchto druhov problémov.
Značky webová bezpečnosť
![[Oprava] Nepodarilo sa načítať súbor lokalizácie prekrytia v službe Steam](https://jf-balio.pt/img/how-tos/18/failed-load-overlay-localization-file-steam.jpg)
![[Oprava] Netflix nezobrazuje videá v rozlíšení 4K](https://jf-balio.pt/img/how-tos/95/netflix-not-showing-videos-4k.jpg)
