• IT-Karriere:
  • Services:

Internet Archive: Bank benutzte Wayback Machine als CDN

Die britische Barclays Bank hatte eine Javascript-Datei aus dem Internet Archive eingebunden - ein gefährliches Unterfangen.

Artikel veröffentlicht am ,
Die Webseite der Barklays Bank ist jedenfalls keine Raketentechnik.
Die Webseite der Barklays Bank ist jedenfalls keine Raketentechnik. (Bild: Barklays UK)

Mit der Wayback Machine des Internet Archive können alte Versionen von Webseiten aus einem Cache betrachtet werden. Die britische Barclays Bank hingegen nutzte den Dienst kurzerhand als Content Delivery Network (CDN) und band eine archivierte Javascript-Datei direkt von der Wayback Machine auf ihrer Internetseite ein, wie der Twitter-Nutzer @immunda bemerkt hatte.

Stellenmarkt
  1. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  2. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen

Ein folgenschweres Unterfangen: So hätte die Webseite der Barclays Bank nicht mehr wie gewohnt funktioniert, wenn die Wayback Machine ausgefallen wäre. Noch schlimmer wiegt jedoch, dass eine Bank die Kontrolle über die Javascript-Datei komplett aus der Hand gibt.

Das Internet Archive hätte so die Webseite der Bank manipulieren können. An diesem Punkt könnten auch Angreifer wie die Magecart-Gruppen ansetzen, die auf teils kreativen Wegen Kreditkartendaten oder andere Zahlungsinformationen abgreifen: Diese könnten statt der Bank die Wayback Machine angreifen und die Javascript-Datei mit Schadcode versehen. Können bei einem Angriff die auf einem CDN ausgelagerten Dateien geändert werden, kann meist auch die Webseite kontrolliert und beispielsweise Daten ausgelesen oder verändert werden - im schlimmsten Fall sogar unbemerkt. Vorausgesetzt die Sicherheit ist bei der Bank nicht ohnehin schlechter als bei der Wayback Machine.

Der Sicherheitsforscher Scott Helme kritisiert die Bank auf Twitter: "Außerdem gibt es kein SRI [Subresource Integrity], wenn also das Internet Archive einen Keylogger ausliefern, JS kryptojacken, bösartige Umleitungen vornehmen, das DOM umschreiben oder einen Kreditkarten-Skimmer à la Magecart einsetzen will, ist alles erlaubt." Auch eine Content Security Policy (CSP) setzt die Bank demnach nicht ein.

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    3.-7. Mai 2021, online
  2. Advanced Python - Fortgeschrittene Programmierthemen
    3./4. Mai 2021, online
Weitere IT-Trainings

Nach dem Hinweis von @immunda entfernte Barclays die Verlinkung auf das Internet Archive. Auf Nachfrage des Onlinemagazins The Register, warum das Skript von der Wayback Machine eingebunden wurde, antwortete die Bank: "Wir nehmen unsere Verantwortung, die Daten unserer Kunden zu schützen, sehr ernst, und dies hat oberste Priorität. Wir möchten unseren Kunden die Gewissheit geben, dass ihre Daten durch diesen Fehler nicht gefährdet sind."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,49€
  2. 4,25

43rtgfj5 07. Jul 2020

So ist es. Am genauesten lässt sich das mit uMatrix einstellen - und dann merkt man auch...

43rtgfj5 07. Jul 2020

Ich wollte die ja grade noch verteidigen, aber mein Gott... Wer sowas verbricht hat sie...

berritorre 07. Jul 2020

So sehe ich das auch. Allerdings finde ich es gerade bei Banken auch schon seltsam, wenn...

berritorre 07. Jul 2020

Glasklar. Bei uns war es damals so: Programmierer programmiert. Wenn das Werk aus der...

M.P. 07. Jul 2020

Das ist schon ca 1...2 Jahre her. Damals waren sogar Facebook und die üblichen Google...


Folgen Sie uns
       


Gopro Hero 9 Black - Test

Ist eine Kamera mit zwei Displays auch doppelt so gut?

Gopro Hero 9 Black - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /