被攻陷的网站提醒站长注意被攻陷的第三方代码

两个最近的黑客事件提高攻击向量infose优点和网站管理员需要更加注意:破坏代码的插入到web页面的应该是一个受信任的第三方允许虹吸个人客户作为其在网站上输入的数据。

最近的一个例子是英国隐形眼镜制造商Vision Direct遭到黑客攻击，该公司周一承认，其网站在11月3日至8日期间遭到攻击。黑客能够获取一些订购隐形眼镜或更新信息的客户的个人和财务信息，包括全名、账单地址、电子邮件地址、密码、电话号码和支付卡信息，包括卡号、有效期和背面的valuableCVV号码。

据一家新闻网站报道，超过16000人可能受到影响。据报道，入侵的原因是一个假的谷歌分析脚本——通常用于收集网站访问者的数据——被植入网站，当用户输入信息时，该脚本会收集用户的信息。换句话说，这并没有破坏公司的数据库。

本月早些时候，安全供应商ESET报告了一起类似的事件，涉及StatCounter服务，许多网站管理员使用该服务收集访问者的统计数据。这是一个被大约200万个网站使用的类似于谷歌分析的服务，它涉及到从StatCounter添加一个外部JavaScript标签。然而，有人设法破解了JavaScript，并将其安装到名为Gate的加密货币交换器上。目的是从储户那里窃取比特币。该计划的一部分涉及创建一个名为www.statconuter[.]com的网站，该网站的流量是定向的，希望人们不会注意到拼写错误。

目前还不清楚黑客们偷走了多少钱。

这两起事件说明了为什么网站管理员必须确保对网站的访问受到严格控制，包括使用多因素身份验证和定期检查可能添加的不良代码，如果他们想确保自己的网站不被滥用。此外，CISOs必须密切关注与其公司类似的域名的注册情况。

一般来说，这些被称为供应链攻击。ESET研究人员马蒂厄?法乌(matthieu Faou)在接受电子邮件采访时说，有时候，攻击第三方比直接攻击更容易。在这种情况下，攻击者决定攻击StatCounter，修改它的一段JavaScript代码，这段代码加载在每个入口。iopage中。然后，该JavaScript加载另一个JS脚本负责修改目标地址时，用户ofgate。我要求撤回比特币。

Faou指出，网站使用的其他典型的第三方JavaScript代码可能被滥用，包括广告网络用于在网站上显示广告的脚本，以及jquery等JavaScript库，这些JavaScript库托管在外部服务器上，以提高加载时间。