Internet Archive: Bank benutzte Wayback Machine als CDN

Die britische Barclays Bank hatte eine Javascript-Datei aus dem Internet Archive eingebunden - ein gefährliches Unterfangen.

Artikel veröffentlicht am ,
Die Webseite der Barklays Bank ist jedenfalls keine Raketentechnik.
Die Webseite der Barklays Bank ist jedenfalls keine Raketentechnik. (Bild: Barklays UK)

Mit der Wayback Machine des Internet Archive können alte Versionen von Webseiten aus einem Cache betrachtet werden. Die britische Barclays Bank hingegen nutzte den Dienst kurzerhand als Content Delivery Network (CDN) und band eine archivierte Javascript-Datei direkt von der Wayback Machine auf ihrer Internetseite ein, wie der Twitter-Nutzer @immunda bemerkt hatte.

Stellenmarkt
  1. Referent/in (w, m, d) Referat 101 - Digitale Koordinierungsstelle Versorgungsverwaltung stv. ... (m/w/d)
    Regierungspräsidium Stuttgart, Stuttgart-Vaihingen
  2. Doktorand*in (d/m/w) Machine Learning / Causal Reinforcement Learning
    OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
Detailsuche

Ein folgenschweres Unterfangen: So hätte die Webseite der Barclays Bank nicht mehr wie gewohnt funktioniert, wenn die Wayback Machine ausgefallen wäre. Noch schlimmer wiegt jedoch, dass eine Bank die Kontrolle über die Javascript-Datei komplett aus der Hand gibt.

Das Internet Archive hätte so die Webseite der Bank manipulieren können. An diesem Punkt könnten auch Angreifer wie die Magecart-Gruppen ansetzen, die auf teils kreativen Wegen Kreditkartendaten oder andere Zahlungsinformationen abgreifen: Diese könnten statt der Bank die Wayback Machine angreifen und die Javascript-Datei mit Schadcode versehen. Können bei einem Angriff die auf einem CDN ausgelagerten Dateien geändert werden, kann meist auch die Webseite kontrolliert und beispielsweise Daten ausgelesen oder verändert werden - im schlimmsten Fall sogar unbemerkt. Vorausgesetzt die Sicherheit ist bei der Bank nicht ohnehin schlechter als bei der Wayback Machine.

Der Sicherheitsforscher Scott Helme kritisiert die Bank auf Twitter: "Außerdem gibt es kein SRI [Subresource Integrity], wenn also das Internet Archive einen Keylogger ausliefern, JS kryptojacken, bösartige Umleitungen vornehmen, das DOM umschreiben oder einen Kreditkarten-Skimmer à la Magecart einsetzen will, ist alles erlaubt." Auch eine Content Security Policy (CSP) setzt die Bank demnach nicht ein.

Golem Akademie
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
Weitere IT-Trainings

Nach dem Hinweis von @immunda entfernte Barclays die Verlinkung auf das Internet Archive. Auf Nachfrage des Onlinemagazins The Register, warum das Skript von der Wayback Machine eingebunden wurde, antwortete die Bank: "Wir nehmen unsere Verantwortung, die Daten unserer Kunden zu schützen, sehr ernst, und dies hat oberste Priorität. Wir möchten unseren Kunden die Gewissheit geben, dass ihre Daten durch diesen Fehler nicht gefährdet sind."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


43rtgfj5 07. Jul 2020

So ist es. Am genauesten lässt sich das mit uMatrix einstellen - und dann merkt man auch...

43rtgfj5 07. Jul 2020

Ich wollte die ja grade noch verteidigen, aber mein Gott... Wer sowas verbricht hat sie...

berritorre 07. Jul 2020

So sehe ich das auch. Allerdings finde ich es gerade bei Banken auch schon seltsam, wenn...

berritorre 07. Jul 2020

Glasklar. Bei uns war es damals so: Programmierer programmiert. Wenn das Werk aus der...

M.P. 07. Jul 2020

Das ist schon ca 1...2 Jahre her. Damals waren sogar Facebook und die üblichen Google...



Aktuell auf der Startseite von Golem.de
Elektrisches Showcar
Maybach hat Solarzellen und durchsichtige Motorhaube

Virgil Abloh und Mercedes-Benz haben einen solarbetriebenen, elektrischen Maybach mit transparenter Motorhaube als Showcar entworfen.

Elektrisches Showcar: Maybach hat Solarzellen und durchsichtige Motorhaube
Artikel
  1. Kryptowährungen: EU-Staaten wollen Bitcoin komplett nachverfolgen
    Kryptowährungen
    EU-Staaten wollen Bitcoin komplett nachverfolgen

    Sogenannte Kryptowährungen wie Bitcoin sollen künftig ähnlichen Transparenzregeln unterliegen wie normale Geldtransfers.

  2. Pornhub, Youporn, Mydirtyhobby: Gericht bestätigt Zugangsverbot für Pornoportale
    Pornhub, Youporn, Mydirtyhobby
    Gericht bestätigt Zugangsverbot für Pornoportale

    Die Landesmedienanstalt NRW hat zu Recht gegen drei Pornoportale mit Sitz in Zypern ein Zugangsverbot verhängt.

  3. Ziele gänzlich verfehlt: Rechnungshof hält De-Mail für teuren Misserfolg
    "Ziele gänzlich verfehlt"
    Rechnungshof hält De-Mail für teuren Misserfolg

    Das Innenministerium hat die Nutzung von De-Mail um den Faktor 1.000 falsch eingeschätzt. Es soll daher die Einstellung des Dienstes prüfen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Verkauf bei MediaMarkt & Saturn • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" Curved QLED 240Hz 1.149€) • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Spiele günstiger: PC, PS5, Xbox, Switch • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /