En el año 218 - Más de 400.000 personas afectadas

El año pasado - Más de 400.000 personas afectadas

La compañia afectada:

Tamaño del script malicioso: < 1Kb

 

Nuestros servicios están en peligro

Comprar entradas para JSConf

Toma tiempo mencionar los nombres de las personas afectadas,

y los daños ocasionados en donde podemos destacar una multa que asciende a los USD 200M.

 

La compañia apelo con el argumento que no hay evidencia que los datos hayan sido usados

Acompáñenme a ver cómo ocurrió este polémico caso.

Lo que van a ver a continuación es con fines educativos

El script malicioso fue inyectado en un recurso .js

The skimming method

En este caso en el script:

Este tipo de script malicioso se puede inyectar en el navegador o en un recurso .js o peor aun; en un CDN

Vamos a analizar en detalle el script usado

Esta herramienta nos permite interceptar y modificar los datos antes y después del XHR o FETCH

El cuadro rojo oscuro es donde se enviaron la datos al atacante de la Brithish Airways (que usó su propio método hasta más sencillo que con XHOOK); ya que los datos ni siquiera habían llegado al XHR

Posibles Soluciones (Prueba de concepto)

Usar xhook para nuestro beneficio y crear un firewall

 

Pero primero vamos a ver otros métodos

RISQIQ escanea irregularidades en los recursos .js o vendor

Firewall del lado del cliente

Control absoluto de las solicitudes salientes

Metodo nativo para interceptar datos como XHOOK

1. Creamos nuestro propio observador nativo para detectar el uso de prototype.open

2. Sellamos y Congelamos en observador para que no sea modificable

Pero el atacante también puede usar XHOOK, vamos a crear nuestra lista blanca y blindarlo para que no sea modificable

Recomendaciones

1. Usar CDN en ves de recursos locales ya que puede ser más seguro. CDNJS.COM y otros

2. Usar formularios de terceros

3. Cómo cliente usar siempre equipos confiables y no usar ordenadores públicos 

Firewall

By Carlos Alberto Angulo Mendoza