พบแฮ็กเกอร์ลอบขโมยข้อมูลเลขบัตรเครดิตในเว็บไซต์ผ่าน Google Analytics

JavaScript code abusing GA for exfiltration purposes 600x129 1 - พบแฮ็กเกอร์ลอบขโมยข้อมูลเลขบัตรเครดิตในเว็บไซต์ผ่าน Google Analytics เครื่องใช้ไฟฟ้าในบ้าน
Google Analytics เป็นเครื่องมือที่ช่วยให้เจ้าของเว็บได้ข้อมูลการเข้าเยี่ยมชม แต่ล่าสุดแฮ็กเกอร์ก็หาทางใช้ประโยชน์จากช่องทางนี้เพื่อรันแคมเปญการขโมยข้อมูลของเว็บไซต์ E-commerce อีกจนได้



credit : Bleepingcomputer – JavaScript code abusing GA for exfiltration purposes

มาถึงตรงนี้หลายคนอาจจะงงว่า เอ๊ะแล้วปกติเว็บไซต์ไม่มีการป้องกันอะไรไว้เลยหรอ ความจริงก็คือต้องอธิบายก่อนว่าปกติแล้วเว็บไซต์มีกลไกที่ชื่อ Content Security Policy (CSP) ที่ช่วยป้องกันไม่ให้โค้ดที่ไม่ปลอดภัยรันในเว็บได้ แต่ประเด็นคือปกติมักจะมีการเปิดยกเว้น Google Analytics API ในผู้ใช้ CSP อยู่แล้ว ซึ่งตรงนี้เองสิ่งที่คนร้ายทำก็คือการใช้สคิร์ปต์ของ Analytics แบบพิเศษด้วย TAG-ID ของตนเองเข้ามาลอบขโมยข้อมูลในหน้าเว็บไซต์ได้ โดย CSP ไม่สามารถแยกแยะได้ระดับ TAG-ID ด้วยเหตุนี้จึงเกิดการ Bypass ขึ้นแล้ว โค้ดสาธิตจาก Peri

Source Link

Comments

Copied title and URL