Live Nation Entertainment
Ticketmaster je nedavno morao ispraviti relativno ozbiljno kršenje koje bi potencijalno moglo dovesti do curenja nekoliko vjerodajnica kreditne kartice kupaca. Naporno rade na ispravljanju problema, ali jedan pojedinac misli da je uopće riješio ono što je potaknulo napade.
Kevin Beaumont, jedan od najboljih britanskih istraživača digitalne sigurnosti, vjeruje da zna kakav je bio vektor napada. Inbenta je osigurala bota za chat za webmastere koji radi pozivanjem JavaScript datoteke s vlastitog udaljenog poslužitelja Inbente.
Za pozivanje ovog određenog dijela JavaScript-a korišten je jedan redak HTML-a. Beaumont je zaključio da je Inbent pružio Ticketmasteru jednu JavaScript liniju koju je tada mogao koristiti na svojoj stranici za plaćanje bez obavijesti Inbentinih tehničara. Budući da se kôd sada nalazio na web mjestu za obradu plaćanja tvrtke Ticketmaster, funkcionalno je postavljen usred svih transakcija kreditnim karticama koje prolaze kroz web mjesto.
JavaScript kôd tada bi se, prema Beaumontovoj teoriji, mogao izvršiti u klijentovom pregledniku s iste stranice na kojoj su bili podaci o njihovoj kreditnoj kartici. Sigurno je netko promijenio kôd i dao mu ovlaštenje da učini nešto zlonamjerno kad je to učinio.
Čini se da njegovo istraživanje također ukazuje da su alati protiv zlonamjernog softvera radili svoj posao. Neki sigurnosni softver uspio je početi označavati skriptu nekoliko mjeseci prije nego što su agenti Ticketmastera objavili da je došlo do kršenja. Sama JavaScript datoteka očito je prenesena u neke alate za obavještavanje o prijetnjama, što je više nego vjerojatno kako su uspjeli na vrijeme uhvatiti proboj.
Drugi su stručnjaci izrazili zabrinutost zbog ovisnosti o knjižnici JavaScript i kako je to povezano s ovom vrstom kršenja. Koderi su postali uobičajeni da koriste git spremišta za rješavanje problema ovisnosti trećih strana kako bi koristili određene JavaScript okvire koji im olakšavaju posao.
Iako je ovo učinkovita metoda ponovne upotrebe koda, postoji rizik da neke od ovih ovisnosti mogu sadržavati nešto zlonamjerno. Mnoga od tih spremišta povremeno su žrtve krekera koji ih također zloupotrebljavaju, što znači da mogu prevesti na dodatna mjesta za nerevidirani kôd kako bi pronašli put u inače legitimne baze.
Kao rezultat toga, neki izražavaju želju za više pažnje strogim postupcima revizije koda kako bi se smanjio rizik od takvih vrsta problema.
Oznake web sigurnost
![[FIX] Model PlayStation Eye Cam: izdanje upravljačkog programa SLEH-00448](https://jf-balio.pt/img/how-tos/74/playstation-eye-cam-model.jpg)
