• IT-Karriere:
  • Services:

Internet Archive: Bank benutzte Wayback Machine als CDN

Die britische Barclays Bank hatte eine Javascript-Datei aus dem Internet Archive eingebunden - ein gefährliches Unterfangen.

Artikel veröffentlicht am ,
Die Webseite der Barklays Bank ist jedenfalls keine Raketentechnik.
Die Webseite der Barklays Bank ist jedenfalls keine Raketentechnik. (Bild: Barklays UK)

Mit der Wayback Machine des Internet Archive können alte Versionen von Webseiten aus einem Cache betrachtet werden. Die britische Barclays Bank hingegen nutzte den Dienst kurzerhand als Content Delivery Network (CDN) und band eine archivierte Javascript-Datei direkt von der Wayback Machine auf ihrer Internetseite ein, wie der Twitter-Nutzer @immunda bemerkt hatte.

Stellenmarkt
  1. SSI SCHÄFER IT Solutions GmbH, Giebelstadt bei Würzburg
  2. SIZ GmbH, Bonn

Ein folgenschweres Unterfangen: So hätte die Webseite der Barclays Bank nicht mehr wie gewohnt funktioniert, wenn die Wayback Machine ausgefallen wäre. Noch schlimmer wiegt jedoch, dass eine Bank die Kontrolle über die Javascript-Datei komplett aus der Hand gibt.

Das Internet Archive hätte so die Webseite der Bank manipulieren können. An diesem Punkt könnten auch Angreifer wie die Magecart-Gruppen ansetzen, die auf teils kreativen Wegen Kreditkartendaten oder andere Zahlungsinformationen abgreifen: Diese könnten statt der Bank die Wayback Machine angreifen und die Javascript-Datei mit Schadcode versehen. Können bei einem Angriff die auf einem CDN ausgelagerten Dateien geändert werden, kann meist auch die Webseite kontrolliert und beispielsweise Daten ausgelesen oder verändert werden - im schlimmsten Fall sogar unbemerkt. Vorausgesetzt die Sicherheit ist bei der Bank nicht ohnehin schlechter als bei der Wayback Machine.

Der Sicherheitsforscher Scott Helme kritisiert die Bank auf Twitter: "Außerdem gibt es kein SRI [Subresource Integrity], wenn also das Internet Archive einen Keylogger ausliefern, JS kryptojacken, bösartige Umleitungen vornehmen, das DOM umschreiben oder einen Kreditkarten-Skimmer à la Magecart einsetzen will, ist alles erlaubt." Auch eine Content Security Policy (CSP) setzt die Bank demnach nicht ein.

Nach dem Hinweis von @immunda entfernte Barclays die Verlinkung auf das Internet Archive. Auf Nachfrage des Onlinemagazins The Register, warum das Skript von der Wayback Machine eingebunden wurde, antwortete die Bank: "Wir nehmen unsere Verantwortung, die Daten unserer Kunden zu schützen, sehr ernst, und dies hat oberste Priorität. Wir möchten unseren Kunden die Gewissheit geben, dass ihre Daten durch diesen Fehler nicht gefährdet sind."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 29,99€
  2. (-75%) 2,50€

43rtgfj5 07. Jul 2020 / Themenstart

So ist es. Am genauesten lässt sich das mit uMatrix einstellen - und dann merkt man auch...

43rtgfj5 07. Jul 2020 / Themenstart

Ich wollte die ja grade noch verteidigen, aber mein Gott... Wer sowas verbricht hat sie...

berritorre 07. Jul 2020 / Themenstart

So sehe ich das auch. Allerdings finde ich es gerade bei Banken auch schon seltsam, wenn...

berritorre 07. Jul 2020 / Themenstart

Glasklar. Bei uns war es damals so: Programmierer programmiert. Wenn das Werk aus der...

M.P. 07. Jul 2020 / Themenstart

Das ist schon ca 1...2 Jahre her. Damals waren sogar Facebook und die üblichen Google...

Kommentieren


Folgen Sie uns
       


Command and Conquer Remastered - Test

Nach Desastern wie Warcraft 3: Reforged ist die gelungene Remastered-Version von C&C eine echte Erfrischung.

Command and Conquer Remastered - Test Video aufrufen
Galaxy Note 20 im Hands-on: Samsung entwickelt sein Stift-Smartphone kaum weiter
Galaxy Note 20 im Hands-on
Samsung entwickelt sein Stift-Smartphone kaum weiter

Samsungs Galaxy Note 20 kommt in zwei Versionen auf den Markt, die beide fast gleich groß, aber unterschiedlich ausgestattet sind.
Ein Hands-on von Tobias Költzsch

  1. Samsung Galaxy Watch 3 kostet ab 418 Euro
  2. Galaxy Tab S7 Samsung bringt Top-Tablets ab 681 Euro
  3. Galaxy Buds Live Samsung stellt bohnenförmige drahtlose Kopfhörer vor

Pixel 4a im Test: Google macht das Pixel kleiner und noch günstiger
Pixel 4a im Test
Google macht das Pixel kleiner und noch günstiger

Google macht mit dem Pixel 4a einiges anders als beim 3a - und eine Menge richtig, unter anderem beim Preis. Im Herbst sollen eine 5G-Version und das Pixel 5 folgen.
Ein Test von Tobias Költzsch

  1. Smartphone Google stellt das Pixel 4 ein
  2. Android Googles Dateimanager erlaubt PIN-geschützten Ordner
  3. Google Internes Dokument weist auf faltbares Pixel hin

Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
Threat-Actor-Expertin
Militärisch, stoisch, kontrolliert

Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.
Ein Porträt von Maja Hoock

  1. Emotet Die Schadsoftware Trickbot warnt vor sich selbst
  2. Loveletter Autor des I-love-you-Virus wollte kostenlos surfen
  3. DNS Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

    •  /