Original-URL des Artikels: https://www.golem.de/news/internet-archive-bank-benutzte-wayback-machine-als-cdn-2007-149481.html    Veröffentlicht: 06.07.2020 17:45    Kurz-URL: https://glm.io/149481

Internet Archive

Bank benutzte Wayback Machine als CDN

Die britische Barclays Bank hatte eine Javascript-Datei aus dem Internet Archive eingebunden - ein gefährliches Unterfangen.

Mit der Wayback Machine des Internet Archive können alte Versionen von Webseiten aus einem Cache betrachtet werden. Die britische Barclays Bank hingegen nutzte den Dienst kurzerhand als Content Delivery Network (CDN) und band eine archivierte Javascript-Datei direkt von der Wayback Machine auf ihrer Internetseite ein, wie der Twitter-Nutzer @immunda bemerkt hatte.

Ein folgenschweres Unterfangen: So hätte die Webseite der Barclays Bank nicht mehr wie gewohnt funktioniert, wenn die Wayback Machine ausgefallen wäre. Noch schlimmer wiegt jedoch, dass eine Bank die Kontrolle über die Javascript-Datei komplett aus der Hand gibt.

Das Internet Archive hätte so die Webseite der Bank manipulieren können. An diesem Punkt könnten auch Angreifer wie die Magecart-Gruppen ansetzen, die auf teils kreativen Wegen Kreditkartendaten oder andere Zahlungsinformationen abgreifen: Diese könnten statt der Bank die Wayback Machine angreifen und die Javascript-Datei mit Schadcode versehen. Können bei einem Angriff die auf einem CDN ausgelagerten Dateien geändert werden, kann meist auch die Webseite kontrolliert und beispielsweise Daten ausgelesen oder verändert werden - im schlimmsten Fall sogar unbemerkt. Vorausgesetzt die Sicherheit ist bei der Bank nicht ohnehin schlechter als bei der Wayback Machine.

Der Sicherheitsforscher Scott Helme kritisiert die Bank auf Twitter: "Außerdem gibt es kein SRI [Subresource Integrity], wenn also das Internet Archive einen Keylogger ausliefern, JS kryptojacken, bösartige Umleitungen vornehmen, das DOM umschreiben oder einen Kreditkarten-Skimmer à la Magecart einsetzen will, ist alles erlaubt." Auch eine Content Security Policy (CSP) setzt die Bank demnach nicht ein.

Nach dem Hinweis von @immunda entfernte Barclays die Verlinkung auf das Internet Archive. Auf Nachfrage des Onlinemagazins The Register, warum das Skript von der Wayback Machine eingebunden wurde, antwortete die Bank: "Wir nehmen unsere Verantwortung, die Daten unserer Kunden zu schützen, sehr ernst, und dies hat oberste Priorität. Wir möchten unseren Kunden die Gewissheit geben, dass ihre Daten durch diesen Fehler nicht gefährdet sind."

 (mtr)


Verwandte Artikel:
Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt   
(29.06.2020, https://glm.io/149251 )
Internet Archive: VHS Vault bewahrt Videokassetten aus den 90ern für alle auf   
(29.02.2020, https://glm.io/146942 )
Sicherheitslücke: Caches von CDN-Netzwerken führen zu Datenleck   
(27.07.2017, https://glm.io/129148 )
mTAN abgefangen: Betrüger räumten Konten in Österreich leer   
(13.03.2020, https://glm.io/147234 )
Strandhogg: Sicherheitslücke in Android wird aktiv ausgenutzt   
(03.12.2019, https://glm.io/145322 )

© 1997–2020 Golem.de, https://www.golem.de/