Adatokat lopott egy olimpiai jegyeket értékesítő oldal

Két olyan weboldal fertőződött meg, és szivárogtatta a felhasználók bankkártya adatait, amelyeken az olimpiára és a labdarúgó-Európa-bajnokságra lehet jegyeket venni.
 

A kiberbűnözők nem vártak sokáig azzal, hogy rászálljanak 2020 legnagyobb érdeklődésre számot tartó sporteseményeire. Olyan weboldalakat kezdtek célkeresztbe állítani, amelyek jegyértékesítésekkel foglalkoznak. Noha eddig nem az elsődleges jegyértékesítési csatornákat szemelték ki maguknak, de így is hivatalos értékesítők kerültek fel az áldozatok listájára.
 
Elsőként Jacob Pimental biztonsági kutató fedezte fel, hogy az OlympicTickets2020.com weboldallal valami nincs rendben. A probléma egyáltalán nem volt szembetűnő, éppen ezért még több kockázatot hordozott. A szakember azt vette észre, hogy a szóban forgó weblap által használt egyik kiegészítővel vannak gondok. Az amúgy teljesen legális és ártalmatlan Slippry nevű, reszponzív oldalakon meglehetősen gyakorta használt JavaScript kódot (pontosabban a slippry.min.js fájlt) valaki manipulálta a weblapot kiszolgáló szerveren. Olyan kódot rejtett el benne, amely a Slippry betöltődésekor rögtön aktiválódott, és elkezdett értékes adatok után kémkedni.
 
A vizsgálatokba Max Kersten biztonsági kutató is beszállt, aki elmondta, hogy először 2019 márciusában találkozott ezzel a módszerrel egy másik webhely ellenőrzése során. A kártékony kód lényege nem más, mint hogy bizonyos kifejezések (például "checkout", "store", "cart", "pay", "order", "basket", "billing") érzékelésekor elkezdi monitorozni a felhasználó által megadott adatokat, és azokat feltölti egy távoli kiszolgálóra. Különösen a bank- és hitelkártya adatok iránt mutat fokozott érdeklődést.
 
Nemcsak olimpia
 
A két szakember a manipulált Slippry kapcsán további kereséseket végzett, amikor kiderült, hogy az EuroTickets2020 weboldal is hasonló problémákkal küzd. Az olimpiai jegyértékesítő oldalon legalább 2019. december 3., míg a labdarúgó-Európa-bajnoksághoz kapcsolódó webhelyen 2020. január 7. óta működhetett észrevétlenül az adatlopó összetevő.
 
A kutatók a felfedezésüket jelezték az üzemeltetőnek (állítólag mindkét weboldalt ugyanaz a cég felügyeli), azonban igencsak lassan ment a biztonsági probléma felszámolása. Először a cég nem is reagált, majd biztonsági hiba hiányában lezárta a bejelentést. A szakértők által nyitott második hibajegyet is szó nélkül lezárta a vállalat, de ekkor már eltávolította a problémás kódot.
 
Arra eddig nem derült fény, hogy a biztonsági incidens (MageCart típusú támadás) hány személyt érinthetett hátrányosan.