ハッカーは数千のサイトから支払いの詳細やユーザーのパスワードを収集しています

ハッカーが少なくとも 7 つのオンライン サービス プロバイダーのサーバーに侵入し、数千の Web サイトに悪意のあるコードを埋め込んだとセキュリティ研究者が発表 ZDNet.

この記事の公開時点でも攻撃は進行中であり、悪意のあるスクリプトはまだ存在しています。

イニシャル ハッキングは Sanguine Security の創設者 Willem de Groot によって発見されました 今日初めに他の数人のセキュリティ研究者によって確認されました。

最初、デ・グルート氏は Alpaca Forms と Picreel のサーバー上にある悪意のあるスクリプトを発見しましたが、RiskIQ の研究者も AppLixir、RYVIU、OmniKick、eGain、およびその他の 5 つのオンライン サービスのサーバー上で同様のスクリプトを発見しました。 アドマキシム。

悪意のあるコードはフォームフィールド内に入力されたすべてのデータをログに記録します

現時点では、ハッカーがどのようにしてこれらの企業に侵入したのかは不明です。 デ・グルート氏はツイッターでの会話でこう語った。 ZDNet ハッキングは同じ攻撃者によって実行されたようです。

この悪意のあるコードは、ユーザーがフォームフィールド内に入力したすべてのコンテンツをログに記録し、その情報をパナマにあるサーバーに送信します。 これには、ユーザーがチェックアウト/支払いページ、お問い合わせフォーム、ログイン セクションに入力するデータが含まれます。

侵害された Alpaca Forms スクリプトに無料の CDN ホスティングを提供していた会社 Cloud CMS が介入して、汚染された Alpaca Forms スクリプトを提供する CDN 全体を停止しました。 同社は現在このインシデントを調査しており、「Cloud CMS、その顧客、サービスにセキュリティ違反やセキュリティ上の問題は存在しなかった」と明らかにした。 Cloud CMS の顧客が自分のサイトに Alpaca Forms スクリプトを使用していない限り、現時点ではこれを示唆する証拠はありません。 自分の。

ピクリールも幸運だった. RiskIQは、同社のスクリプトに追加された悪意のあるコードは失敗したが、悪意のあるコードは実行されなかったと述べている。 OmniKick に悪意のあるコードを追加しようとしたときにも同じエラーが発生しました。

eGain も同様の状況にあり、ハッカーはリモートの顧客サイトに埋め込まれているスクリプトではなく、eGain Web サイトのみに読み込まれるスクリプトの 1 つを変更しました。

サプライチェーン攻撃、Web サイトに対する脅威が増大

過去 2 年間で、このような攻撃が非常に一般的になりました。 サプライチェーン攻撃として知られるハッカーグループは、有名な Web サイトへの侵入はそれほど簡単ではないことに気づいています。 彼らは、これらの Web サイトに「二次コード」を提供する中小企業をターゲットにし始めました。 その他。

チャット ウィジェット、ライブ サポート ウィジェット、分析会社などのプロバイダーが標的となりました。

動機はグループによって異なります。 例えば、 一部のグループはサードパーティ企業をハッキングしてクリプトジャッキング スクリプトを展開しました、他の人も同じテクニックを使用しています 支払いフォームに入力されたデータのみを盗む特殊なコードを導入する.

今日の攻撃は、目的に関係なく、Web サイト上のすべてのフォーム フィールドを標的とする非常に汎用的なものであるため、これまでとは異なります。

RiskIQ 調査の結果を反映して記事が 5 月 31 日に更新されました。 この記事の初期バージョンでは、影響を受けるサービスとして Alpaca Forms と Picreel のみが記載されていました。

さらに多くのデータ侵害をカバー:

• インディアナ・ペイサーズがセキュリティ侵害を明らかに
• イランのサイバースパイ活動の新たな漏洩がテレグラムとダークウェブを襲う
• 米国がAnthemハッカー1人を起訴
• トルコ、2018年12月のAPIバグでFacebookに罰金
  
• ハッカーがカナダと米国の 201 のオンラインキャンパスストアからカードデータを盗む
• ハッカーが仮想通貨取引所バイナンスから4,100万ドルを盗む
• 何億ものFacebookパスワードが平文で公開されていた CNET
  
• Facebook のデータプライバシースキャンダル: チートシートTechRepublic