Veiligheidsonderzoeker Willem de Groot dat de aanvallers, als gevolg van het hacken van de infrastructuur, een kwaadaardige insert in de code van het webanalysesysteem konden invoegen en een open platform voor het genereren van interactieve webformulieren . Vervanging van JavaScript-code leidde tot het compromitteren van 4684 sites die deze systemen op hun pagina's gebruikten ( —Picrel en - Alpaca-formulieren).
Geïmplementeerd verzamelde informatie over het invullen van alle webformulieren op sites en kon onder meer leiden tot het onderscheppen van invoer van betalingsinformatie en authenticatieparameters. De onderschepte informatie werd onder het mom van een afbeeldingsverzoek naar de server font-assets.com gestuurd. Er is nog geen informatie over hoe precies de Picreel-infrastructuur en het CDN-netwerk voor het leveren van het Alpaca Forms-script in gevaar zijn gekomen. Het is alleen bekend dat tijdens een aanval op Alpaca Forms scripts die via het Cloud CMS content delivery-netwerk werden geleverd, werden vervangen. werd gecamoufleerd als een reeks gegevens in script (u kunt het transcript van de code zien ).
Onder de gebruikers van gecompromitteerde projecten bevinden zich veel grote bedrijven, waaronder Sony, Forbes, Trustico, FOX, ClassesUSA, 3Dcart, Saxo Bank, Foundr, RocketInternet, Sprit en Virgin Mobile. Rekening houdend met het feit dat dit niet de eerste aanval van deze soort is (zie. met de vervanging van de StatCounter-teller) worden sitebeheerders geadviseerd zeer voorzichtig te zijn bij het plaatsen van JavaScript-code van derden, vooral op pagina's die verband houden met betalingen en authenticatie.
Bron: opennet.ru