Παραβίαση καταστήματος της ΕΔΥ για κλοπή καρτών πληρωμής

Το επίσημο διαδικτυακό κατάστημα της Ευρωπαϊκής Διαστημικής Υπηρεσίας παραβιάστηκε καθώς άρχισε να φορτώνει ένα κομμάτι κώδικα JavaScript που δημιουργεί μια ψεύτικη σελίδα πληρωμής Stripe στο ταμείο.

Με προϋπολογισμό άνω των 10 δισ. ευρώ, η αποστολή του Ευρωπαϊκός Οργανισμός Διαστήματος (ESA) πρόκειται να επεκτείνει τα όρια των διαστημικών δραστηριοτήτων εκπαιδεύοντας αστροναύτες και κατασκευάζοντας πυραύλους και δορυφόρους για την εξερεύνηση των μυστηρίων του σύμπαντος.

Ο διαδικτυακό κατάστημα Η άδεια πώλησης εμπορευμάτων της ESA δεν είναι προς το παρόν διαθέσιμη, εμφανίζοντας ένα μήνυμα ότι είναι “προσωρινά εκτός τροχιάς”.

Το κακόβουλο σενάριο εμφανίστηκε στον ιστότοπο του πρακτορείου χθες και συνέλεξε πληροφορίες πελατών, συμπεριλαμβανομένων των δεδομένων κάρτας πληρωμής που παρέχονται στο τελικό στάδιο μιας αγοράς.

Η εταιρεία ασφάλειας ηλεκτρονικού εμπορίου Sansec παρατήρησε το κακόβουλο σενάριο χθες και προειδοποίησε ότι το κατάστημα φαίνεται να είναι ενσωματωμένο με συστήματα ESA, κάτι που θα μπορούσε να θέσει σε κίνδυνο τους υπαλλήλους του οργανισμού.

Η Sansec διαπίστωσε ότι ο τομέας για την εξαγωγή των πληροφοριών έχει το ίδιο όνομα με αυτόν που χρησιμοποιείται από το νόμιμο κατάστημα που πωλεί εμπορεύματα της ESA, αλλά έχει διαφορετικό τομέα ανώτατου επιπέδου (TLD).

Ενώ το επίσημο κατάστημα της ευρωπαϊκής υπηρεσίας χρησιμοποιεί το “esaspaceshop” στο .com TLD, ο χάκερ χρησιμοποιεί το ίδιο όνομα στο .pics TLD (δηλ. esaspaceshop[.]φωτογραφίες), όπως φαίνεται στον πηγαίο κώδικα του καταστήματος της ESA:

Το σενάριο περιείχε ασαφή κώδικα HTML από το Stripe SDK, το οποίο φόρτωσε μια ψεύτικη σελίδα πληρωμής Stripe όταν οι πελάτες προσπάθησαν να ολοκληρώσουν μια αγορά.
Αξίζει να σημειωθεί ότι η ψεύτικη σελίδα Stripe δεν φαινόταν ύποπτη, ειδικά όταν είδαμε ότι σερβιρίστηκε από το επίσημο διαδικτυακό κατάστημα της ESA.

Η Source Defense Research, μια εταιρεία ασφάλειας διαδικτυακών εφαρμογών, επιβεβαίωσε τα ευρήματα της Sansec και κατέγραψε την ψεύτικη σελίδα πληρωμής Stripe φορτώνεται στο επίσημο διαδικτυακό κατάστημα της ESA.

Χθες, η BleepingComputer επικοινώνησε με την ESA για λεπτομέρειες σχετικά με τον συμβιβασμό. Πριν λάβουμε απάντηση σήμερα, παρατηρήσαμε ότι το κατάστημα ιστού δεν εξυπηρετούσε πλέον την ψεύτικη σελίδα πληρωμής Stripe, αλλά το κακόβουλο σενάριο εξακολουθούσε να είναι ορατό στον πηγαίο κώδικα του ιστότοπου.

Σε μεταγενέστερη επικοινωνία, η ESA είπε ότι το κατάστημα δεν φιλοξενείται στην υποδομή του και δεν διαχειρίζεται τα δεδομένα σε αυτό επειδή ο οργανισμός δεν διαχειρίζεται τα δεδομένα επειδή δεν του ανήκει.

Αυτό θα μπορούσε να επιβεβαιωθεί με μια απλή αναζήτηση whois, η οποία εμφανίζει πλήρεις λεπτομέρειες για τον τομέα της ESA (esa.int) και το διαδικτυακό κατάστημά της, όπου τα δεδομένα επικοινωνίας διαγράφονται για απόρρητο.