Редица държавни организации станаха жертва на атака, която деформира външния вид на уебсайтовете им в рамките на ден. И както много често се случва – има добра и лоша новина.
Добрата е, че данните на сайтове са останали непокътнати, тъй като атаката е засегнала повърхността на страниците. Иначе казано, засегнат е бил само HTML кода (или форматирането), без да се достига до бази данни или информация за потребители вътре в системите. Лошата: че дори и толкова дребен пропуск може да бъде използван за кражба на лични данни и фишинг атаки срещу неподозиращите потребители.
Какво представлява атаката отвътре? При програмирането на засегнатите страници най-вероятно не е било забранено използването на специални символи. Това дава възможност в полетата с променливи да бъде инжектиран HTML/JavaScript, който да промени съдържанието на дадена страница или да създаде нова. И тук идва добрата новина: “инжектирането” става само от страна на клиента. Промяната не засяга данни върху сървъра.
Иначе казано – промяната се вижда само при въвеждане на специален URL в полето за адрес на браузъра. Което – въпреки че не представлява пробив в сигурността на базите данни на сайта – може да бъде използвано за осъществяване на заблуждаващи атаки срещу потребителите.
Реално това средство за атака позволява кражба на ID на потребителска сесия и бисквитки (cookies). Сдобиването с тази информация от своя страна може да доведе до злонамерено използване на потребителски профили в други сайтове (Facebook, мейл клиенти и т.н.), например.
И още нещо. Освен за споделяне на забавни картинки в сайтове, този метод за атака може да се ползва и за добавяне на фалшиви полета във форми – например фалшива логин форма, която да послужи за кражба на пароли на потребители. Или банкова информация. Или за каквото друго пожелаят кибер-престъпниците. Тоест, подобни пробойни могат се ползват не само за шеги на чужд гръб.
Нека шегата не е на ваш гръб! Дори и безобидна, разпространена в интернет, тя може да нанесе сериозни щети на репутацията ви.
Как може да се предпазите от подобни атаки? Одитът на сигурността от независима сертифицирана организация е първата стъпка за защита на всички активи на организациите – не само на сайтовете им, а и на всички други активи, свързани със съхраняване и обработка на информация и лични данни.
