• IT-Karriere:
  • Services:

Internet Archive: Bank benutzte Wayback Machine als CDN

Die britische Barclays Bank hatte eine Javascript-Datei aus dem Internet Archive eingebunden - ein gefährliches Unterfangen.

Artikel veröffentlicht am ,
Die Webseite der Barklays Bank ist jedenfalls keine Raketentechnik.
Die Webseite der Barklays Bank ist jedenfalls keine Raketentechnik. (Bild: Barklays UK)

Mit der Wayback Machine des Internet Archive können alte Versionen von Webseiten aus einem Cache betrachtet werden. Die britische Barclays Bank hingegen nutzte den Dienst kurzerhand als Content Delivery Network (CDN) und band eine archivierte Javascript-Datei direkt von der Wayback Machine auf ihrer Internetseite ein, wie der Twitter-Nutzer @immunda bemerkt hatte.

Stellenmarkt
  1. Bundesanzeiger Verlag GmbH, Köln
  2. Bad Homburger Inkasso GmbH, Bad Vilbel

Ein folgenschweres Unterfangen: So hätte die Webseite der Barclays Bank nicht mehr wie gewohnt funktioniert, wenn die Wayback Machine ausgefallen wäre. Noch schlimmer wiegt jedoch, dass eine Bank die Kontrolle über die Javascript-Datei komplett aus der Hand gibt.

Das Internet Archive hätte so die Webseite der Bank manipulieren können. An diesem Punkt könnten auch Angreifer wie die Magecart-Gruppen ansetzen, die auf teils kreativen Wegen Kreditkartendaten oder andere Zahlungsinformationen abgreifen: Diese könnten statt der Bank die Wayback Machine angreifen und die Javascript-Datei mit Schadcode versehen. Können bei einem Angriff die auf einem CDN ausgelagerten Dateien geändert werden, kann meist auch die Webseite kontrolliert und beispielsweise Daten ausgelesen oder verändert werden - im schlimmsten Fall sogar unbemerkt. Vorausgesetzt die Sicherheit ist bei der Bank nicht ohnehin schlechter als bei der Wayback Machine.

Der Sicherheitsforscher Scott Helme kritisiert die Bank auf Twitter: "Außerdem gibt es kein SRI [Subresource Integrity], wenn also das Internet Archive einen Keylogger ausliefern, JS kryptojacken, bösartige Umleitungen vornehmen, das DOM umschreiben oder einen Kreditkarten-Skimmer à la Magecart einsetzen will, ist alles erlaubt." Auch eine Content Security Policy (CSP) setzt die Bank demnach nicht ein.

Nach dem Hinweis von @immunda entfernte Barclays die Verlinkung auf das Internet Archive. Auf Nachfrage des Onlinemagazins The Register, warum das Skript von der Wayback Machine eingebunden wurde, antwortete die Bank: "Wir nehmen unsere Verantwortung, die Daten unserer Kunden zu schützen, sehr ernst, und dies hat oberste Priorität. Wir möchten unseren Kunden die Gewissheit geben, dass ihre Daten durch diesen Fehler nicht gefährdet sind."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-82%) 11,00€
  2. 44,99€
  3. 44,49€

43rtgfj5 07. Jul 2020 / Themenstart

So ist es. Am genauesten lässt sich das mit uMatrix einstellen - und dann merkt man auch...

43rtgfj5 07. Jul 2020 / Themenstart

Ich wollte die ja grade noch verteidigen, aber mein Gott... Wer sowas verbricht hat sie...

berritorre 07. Jul 2020 / Themenstart

So sehe ich das auch. Allerdings finde ich es gerade bei Banken auch schon seltsam, wenn...

berritorre 07. Jul 2020 / Themenstart

Glasklar. Bei uns war es damals so: Programmierer programmiert. Wenn das Werk aus der...

M.P. 07. Jul 2020 / Themenstart

Das ist schon ca 1...2 Jahre her. Damals waren sogar Facebook und die üblichen Google...

Kommentieren


Folgen Sie uns
       


Patrick Schlegels Visitenkarte spielt Musik und würfelt

Eine Visitenkarte muss nicht immer aus langweiligem Papier sein. Patrick Schlegels Visitenkarte hat einen USB-Speicher, spielt Musik und kann würfeln.

Patrick Schlegels Visitenkarte spielt Musik und würfelt Video aufrufen
Ryzen 7 Mobile 4700U im Test: Der bessere Ultrabook-i7
Ryzen 7 Mobile 4700U im Test
Der bessere Ultrabook-i7

Wir testen AMDs Ryzen-Renoir mit 10 bis 35 Watt sowie mit DDR4-3200 und LPDDR4X-4266. Die Benchmark-Resultate sind beeindruckend.
Ein Test von Marc Sauter

  1. Renoir Asrock baut 1,92-Liter-Mini-PC für neue AMD-CPUs
  2. Arlt-Komplett-PC ausprobiert Mit Ryzen Pro wird der Büro-PC sparsam und flott
  3. Ryzen 4000G (Renoir) AMD bringt achtkernige Desktop-APUs mit Grafikeinheit

Sysadmin Day 2020: Du kannst doch Computer ...
Sysadmin Day 2020
Du kannst doch Computer ...

Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
Ein Porträt von Boris Mayer


    Sono Motors: Wie der E-Autohersteller durch die Krise kommen will
    Sono Motors
    Wie der E-Autohersteller durch die Krise kommen will

    Die Crowdfunding-Kampagne kam zur richtigen Zeit. Mit dem Geld hat das Elektroauto-Startup Sono Motors die Coronakrise bisher gut überstanden.
    Ein Bericht von Werner Pluta

    1. Soundcloud-Gründer Das eigene E-Bike für 59 Euro im Monat
    2. Kuberg Elektrisches Dirt Bike mit Anhänger vorgestellt
    3. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis

      •  /