The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Подмена кода проектов Picreel и Alpaca Forms привела к компр..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от opennews (??), 13-Май-19, 09:16 
Исследователь безопасности Виллем де Гроот (Willem de Groot) сообщил (https://twitter.com/gwillem/status/1127617495911804935), что в результате взлома инфраструктуры атакующие смогли внедрить вредоносную вставку в код системы web-аналитики Picreel (https://www.picreel.com/) и открытой платформы для генерации интерактивных web-форм Alpaca Forms (http://www.alpacajs.org/) (были подменены скрипты, поставляемые через сеть доставки контента Cloud CMS). Подмена JavaScript-кода привела к компрометации  4684 сайтов, применяющих на своих страницах указанные системы (1249 (https://publicwww.com/websites/%22assets.pcrl.co%22/) - Picreel и  3435 (https://urlscan.io/result/b6aaefd5-851b-4c60-8253-d5153f2eab21) - Alpaca Forms).

Внедрённый вредоносный код (https://gist.github.com/gwillem/866af760afcef583ebed23948cbb...) осуществлял сбор сведений о заполнении всех web-форм на сайтах и в том числе мог привести к перехвату ввода платёжной информации и параметров аутентификации. Перехваченная информация отправлялась на сервер font-assets.com под видом запроса изображений. Информации о том, как именно была скомпрометирована инфраструктура Picreel  и CDN-сеть для доставки скрипта Alpaca Forms пока нет. Вредоносная вставка (https://urlscan.io/result/b6aaefd5-851b-4c60-8253-d5153f2eab21) была закамуфлирована под массив данных в минимизированной версии (https://assets.pcrl.co/js/jstracker.min.js) скрипта (расшифровку кода можно посмотреть здесь (https://gist.github.com/gwillem/866af760afcef583ebed23948cbb...)).

Среди пользователей скомпрометированных проектов отмечается много крупных компаний, включая Sony, Forbes, Trustico, FOX, ClassesUSA, 3Dcart, Saxo Bank, Foundr, RocketInternet,  Sprit и Virgin Mobile. С учётом того, что это не первая атака подобного рода (см. инциденты (https://www.opennet.ru/opennews/art.shtml?num=49568) с подменой счётчика StatCounter и появлением (https://www.opennet.ru/opennews/art.shtml?num=46845) вредоносного кода на сайте госуслуг]]), администраторам сайтов рекомендуется очень внимательно относиться к размещению стороннего JavaScript-кода, особенно на страницах связанных с платежами и аутентификацией.

URL: https://www.zdnet.com/article/hackers-are-collecting-payment.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50673

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –35 +/
Сообщение от Аноним (1), 13-Май-19, 09:16 
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. Скрыто модератором  +27 +/
Сообщение от лютый жабист__ (?), 13-Май-19, 09:24 
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. Скрыто модератором  +8 +/
Сообщение от КО (?), 13-Май-19, 09:25 
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +6 +/
Сообщение от trolleybusemail (?), 13-Май-19, 09:29 
Правильно, нечего было грузить скрипты через CDN
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  –1 +/
Сообщение от Аноним (6), 13-Май-19, 09:30 
Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией о банковских карточках.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +2 +/
Сообщение от рэбе Иванов (?), 13-Май-19, 10:09 
> Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых
> сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией
> о банковских карточках.

видите ли, в любом случае - вас все равно трахнут.

пока не научитесь, наконец, соображать, что cdn нужны не для того чтобы тянуть оттуда в рот любой мусор.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +4 +/
Сообщение от Гентушник (ok), 13-Май-19, 10:18 
Сбербанк в личном кабинете например не использует.
У них тянутся скрипты с google-analytics.com, rutarget.ru и yandex.ru.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +4 +/
Сообщение от пох (?), 13-Май-19, 10:22 
если бы использовали - оно бы и ломалось по три раза на дню - каждый раз, как гуглевая или яндексная макака закоммитит апдейт.

но фанаты новых-модных браузерофич никогда не поумнеют, это исключено.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +2 +/
Сообщение от Аноним (13), 13-Май-19, 10:47 
Фичи это инструмент. Можно орехи колоть, а можно — яйца.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +2 +/
Сообщение от пох (?), 13-Май-19, 12:15 
вопрос в том, какое у этой фичи может быть хоть примерно полезное применение.
Если cdn твой личный, и сделан ради снижения нагрузки - она не нужна, хватит обычного ssl.
Если cdn дядин, и сделан ради обмазывания свежайшим (ну чтоб гугель в любой момент мог поулучшать что-нибудь твоим пользователям) - она не работает, дядя - он такой, не будет тебя предупреждать, когда ему вздумалось поменять что-то.
Если ты веб-макака и забил хэши прямотянутого с raw.githubusercontent конкретной версии, вместо того чтобы просто скопировать их оттуда на свой сервер - твоим юзверям все равно страдать, а microsoft получила новую полезную инфу для перепродажи гуглю, но она не тебе полезна.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

30. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от Аноним (30), 13-Май-19, 13:54 
> Если cdn твой личный, и сделан ради снижения нагрузки - она не нужна, хватит обычного ssl.
> Если cdn дядин, и сделан ради обмазывания свежайшим (ну чтоб гугель в любой момент мог поулучшать что-нибудь твоим пользователям) - она не работает, дядя - он такой, не будет тебя предупреждать, когда ему вздумалось поменять что-то.

Есть один-единственный юзкейс: скрипты твои, а CDN дядин.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

31. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от Аноним (31), 13-Май-19, 14:10 
разве что так. но все равно это костыли.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от OpenEcho (?), 13-Май-19, 14:20 
Не правда. Есть два use cases:
- не напрягать голову и делать "как все" = CDN
- напрягать голову и делать "не как все" = свои серваки с разнесенными георафически IP
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

44. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от пох (?), 14-Май-19, 10:12 
> Не правда. Есть два use cases:
> - не напрягать голову и делать "как все" = CDN
> - напрягать голову и делать "не как все" = свои серваки с

вопрос в экономическом обосновании.

если у кого-то уже есть серваки разнесенные географически, и он их купил оптом и перепродает как услугу - скорее всего у него получится и дешевле, и надежнее, чем у тебя. Просто потому что он больше на пару порядков. Он один раз на всех своих клиентов решил проблемы фейловера, обслуживания и мониторинга - а ты все это будешь из полешка на коленке выстругивать, причем за зарплату.

Если при этом ты сохраняешь свои сервисы - возможно, овчинка стоит выделки (сервер приложений и базы тебе все равно и масштабировать и фэйловерить, на этом фоне статику раздать - фигня вопрос, даже если ты нетфликс).
Если ты не it-компания вообще - возможно, ты уже вытащил сервисы в облако. (даже арендованное-частное) Тогда можно уже посчитать, что дешевле - использовать облачные мощности для статики, или купить таки немножко чужого cdn для этой же цели.

В этом вот последнем случае - ограниченная применимость у хэшей будет. Ограниченная - потому что cdn'ы обычно достаточно хорошо защищены, гораздо вероятнее проиметь свои собственные пароли и явки (тогда и хэш добрые ребята пересчитают).

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

43. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от пох (?), 14-Май-19, 10:04 
Ну, в принципе, да - для традиционных сервисов он обламывается об "you are not google!" (also not amazon, facebook, etc), но если у тебя уже все в чужом облаке - глупо платить за мощности облака там, где можно сэкономить (раздача статики наверняка дешевле обойдется через cdn чем напрямую с инстансов - вопрос только, можно ли эту экономию увидеть хотя бы в микроскоп).

А по факту сегодня массовое использование cdn'ов - безмозглая копипаста со стека или такое же безмозглое втягивание чужих "аналитик".
Причем тот же сбер уже ловили на сливе данных клиентов таким образом - он даже не утерся, "божья роса".

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

50. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от OpenEcho (?), 14-Май-19, 19:48 
> А по факту сегодня массовое использование cdn'ов - безмозглая копипаста со стека
> или такое же безмозглое втягивание чужих "аналитик".
> Причем тот же сбер уже ловили на сливе данных клиентов таким образом
> - он даже не утерся, "божья роса".

Вот в  этом вся проблема !

Большиство сайтов с посещаемостью в 100 реальных людей в день в лучшем случае, но devops для крутости впарил модное CDN клиенту .

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

40. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от Kuromi (ok), 13-Май-19, 20:30 
Это мелочи. У Почта Банка чтобы в "личный кабинет" войти надо Гугловскую рекапчу пройти!
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

49. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от макака из Джета (?), 14-Май-19, 17:13 
мы непричем, нам так заказали
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

29. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +2 +/
Сообщение от Аноним (30), 13-Май-19, 13:52 
> Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией о банковских карточках.

Кто-то ещё думает, что, используя integrity, можно пихать сторонние скрипты на страницы с формами для ввода платёжной информации?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

45. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от яндекс (?), 14-Май-19, 10:13 
> Кто-то ещё думает, что, используя integrity, можно пихать сторонние скрипты на страницы
> с формами для ввода платёжной информации?

вы что, НАМ не доверяете?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

48. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +1 +/
Сообщение от Аноним (30), 14-Май-19, 12:52 
Нет, конечно. Мы ж не сбербанк какой, мы анонимы!
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

7. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +2 +/
Сообщение от Аноним (13), 13-Май-19, 09:58 
Лепота.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +3 +/
Сообщение от Аноним (9), 13-Май-19, 10:17 
а сколько всего еще не нашли
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +4 +/
Сообщение от Аноним (12), 13-Май-19, 10:32 
Вэб-макаки, сэр!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +3 +/
Сообщение от Аноним (14), 13-Май-19, 11:04 
Ахах, опять JS, девляпсы и бесконтрольная загрузка из чужих хранилищ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от А (??), 13-Май-19, 11:06 
Доинтегрировались.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от Собянина в отставку (?), 13-Май-19, 12:38 
> Доинтегрировались.

Вася Пупкин на коленке быстро и дешево напишет без багов с предоставлением подробного почасового отчета зваказчику

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от Аноним (16), 13-Май-19, 11:07 
Про Cross-origin resource sharin не читали?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  –1 +/
Сообщение от Аноним (19), 13-Май-19, 11:15 
Уважаемые анонимы и не очень! Подскажите, возможно ли каким-лиюо образом запретить исполнение подобного обфусцированного Javascript-мусора, кроме как * * script block в uMatrix?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +1 +/
Сообщение от рэбе Иванова (?), 13-Май-19, 12:07 
можно. Но сайт, чей функционал (а alpaca это таки функционал, а не просто слежка) зависит от такого кода - работать не будет.

поэтому с тем же успехом может отключить себе интернет, и сэкономить пару шекелей на абонентской плате

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от имя (?), 13-Май-19, 17:51 
устанавливай librejs и проблем у тебя со скриптами точно не будет
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от Аноним (23), 13-Май-19, 12:24 
Это просто отлично. Ещё один аргумент за "уберите с сайта это г****". Правда многим пофиг, ибо "оплати нам bandwidth для статики, тогда мы перенесём её на свои сервера, а пока - пошёл ....".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от Аноним (26), 13-Май-19, 12:43 
> CDN-сеть для доставки скрипта

Ну понятно, если сай наколеночный. Но

> Sony, Forbes, Trustico

facepalm.jpg ну уж у этих-то не хватило денег оплатить канал для своей статики, да...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +5 +/
Сообщение от Я (??), 13-Май-19, 13:31 
А кто им сайты делает, как ты думаешь?

Макаки, макаки эвривер. Индусы, китайцы, русские, украинцы, молдаване, румыны, прочие- всегда, ВСЕГДА: "... и в продакшн". Просто этим компаниям услуги сайтостроения проталкивают люди, которые больше потратились на свой внешний вид, чем на команду кодеров.

Поэтому это не первый и не последний случай (естественно)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +1 +/
Сообщение от Аноним (26), 13-Май-19, 15:59 
> А кто им сайты делает, как ты думаешь?

Да это понятно...

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

37. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от имя (?), 13-Май-19, 17:53 
> "... и в продакшн"

как ты думаешь почему так? А потому что крупные компании часто не отличаются от Васи Пупкина, который хочет сайт здесь и сейчас, а писать или согласовывать ТЗ ему некогда, зато когда все почти готово его ВНЕЗАПНО осеняет гениальная идея в плане функционала.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +1 +/
Сообщение от Аноним (34), 13-Май-19, 15:13 
Канал куда?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

41. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +2 +/
Сообщение от forum reader (?), 13-Май-19, 22:31 
>> Sony, Forbes, Trustico
>facepalm.jpg ну уж у этих-то не хватило денег оплатить канал для своей статики, да...

Там не статика, там  "код системы web-аналитики". Рисовалка красивых диаграмм для вышестоящего руководства. Чем красивее диаграмма, тем больше месячная премия.  

Топменеджерам коучи на тренингах так показывают правильную картинку, что ИТшникам легче внедрить еще одну систему, чем каждый год каждому новому проходимцу объяснять что "наша аналитика умеет все тоже самое и даже немножко лучше больше быстрее точнее, просто картинка совсем другая."

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

46. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от пох (?), 14-Май-19, 10:17 
> что "наша аналитика умеет все тоже самое и даже немножко лучше
> больше быстрее точнее, просто картинка совсем другая."

угу, а когда это продолжается несколько лет к ряду (прежние проходимцы обратно уже отчалили в свой бангалор) - получаем при покупке авиабилета на сайте одной восточной авиакомпании - около _сотни_ разных подглядывающих и подслушивающих. Причем половине сливается вся инфа из билета, вторая половина может о недостающей догадаться по твоему ip/id/гуглелогину, и друг с дружкой они тоже не забывают поделиться.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

51. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от Аноним (51), 15-Май-19, 22:12 
А в больших и дорогих корпорациях карьеру делают, а не сайты. С чего вы взяли, что аффекченные конторы сайт свой сами или у кого-то делали? Они карьеру делали. Поскорее, проще, чтоб только дотянуть и успеть уйти вверх.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +2 +/
Сообщение от Я (??), 13-Май-19, 13:26 
Заслужили
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  –1 +/
Сообщение от OpenEcho (?), 13-Май-19, 14:26 
Как думаете? Научатся на горьком опыте?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

42. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +1 +/
Сообщение от Led (ok), 13-Май-19, 23:44 
Макаки не эволюционируют.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

47. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  –1 +/
Сообщение от пох (?), 14-Май-19, 10:18 
> Как думаете? Научатся на горьком опыте?

думаешь, у них бэкапа тоже не было?

В остальных случаях - они даже и не заметят.


Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  –2 +/
Сообщение от Чак Норрис (?), 13-Май-19, 19:33 
Не следует класть все яйца в одну мошонку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Подмена кода проектов Picreel и Alpaca Forms привела к компр..."  +/
Сообщение от n1rdeks (ok), 13-Май-19, 19:36 
>Виллем де Гроот (Willem de Groot)

"I'm Groot"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру