![欧洲航天局官方商店遭黑客攻击,支付卡被盗]( "欧洲航天局官方商店遭黑客攻击,支付卡被盗")
欧洲航天局的官方网上商店遭到黑客攻击,因为它加载一段了 JavaScript 恶意代码,该代码会在结账时生成一个虚假的 Stripe 支付页面。
欧洲航天局(ESA)的预算超过100亿欧元,其使命是通过培训宇航员以及建造用于探索宇宙奥秘的火箭和卫星来扩展太空活动的极限。
获得销售 ESA 商品许可的网上商店目前无法使用,并显示“暂时脱离轨道”的消息。
该恶意脚本昨天出现在该机构的网站上,并收集了客户信息,包括在购买的最后阶段提供的支付卡数据。
电子商务安全公司 Sansec 昨天注意到了该恶意脚本,并警告称该商店似乎与 ESA 系统集成,这可能会对该机构的员工构成风险。
![欧洲航天局官方商店遭黑客攻击,支付卡被盗]( "欧洲航天局官方商店遭黑客攻击,支付卡被盗")
Sansec 发现,用于泄露信息的域名与销售 ESA 商品的合法商店使用的域名相同,但顶级域名 (TLD) 不同。
尽管欧洲机构的官方商店在 .com TLD 中使用“esaspaceshop”,但黑客在 .pics TLD 中使用了相同的名称(即 esaspaceshop[.]pics),如 ESA 商店的源代码所示:
![欧洲航天局官方商店遭黑客攻击,支付卡被盗]( "欧洲航天局官方商店遭黑客攻击,支付卡被盗")
该脚本包含来自 Stripe SDK 的混淆 HTML 代码,当客户尝试完成购买时,它会加载一个假的 Stripe 支付页面。值得注意的是,假的 Stripe 页面看起来并不可疑,尤其是当它是由官方 ESA 网上商店提供的时。
![欧洲航天局官方商店遭黑客攻击,支付卡被盗]( "欧洲航天局官方商店遭黑客攻击,支付卡被盗")
网络应用安全公司 Source Defense Research 证实了 Sansec 的调查结果,并捕获了在 ESA 官方网上商店中加载的虚假 Stripe 支付页面。
昨天,BleepingComputer 联系了 ESA,询问有关此次入侵的详细信息。在今天收到回复之前,我们注意到该网店不再提供虚假的 Stripe 支付页面,但恶意脚本在网站的源代码中仍然可见。
在随后的沟通中,ESA 表示,该商店并不托管在其基础设施上,也不管理其上的数据,因为该机构不拥有这些数据,所以不管理这些数据。
只需通过简单的 whois 查询即可确认这一点,查询结果显示了 ESA 域名 (esa.int) 及其网上商店的完整详细信息,其中联系数据已被删除以保护隐私。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):欧洲航天局官方商店遭黑客攻击,支付卡被盗
评论