欧洲航天局(ESA)的官方网络商店遭遇黑客入侵,加载用于生成虚假 Stripe 支付页面的 JavaScript 代码。
欧洲航天局每年的预算超过 100 亿欧元,其主要任务是通过培训宇航员以及建造火箭和卫星来探索宇宙奥秘,进而拓展太空活动的边界。目前,获准销售的 ESA 商品网络商店已无法使用,页面显示的信息是“暂时失去轨道”。
就在昨天,这段恶意脚本出现在欧洲航天局的网站上,并开始收集客户信息,其中包含在购买流程最后阶段提供的支付卡数据。电子商务安全公司 Sansec 于昨日察觉到这段恶意脚本,并发出警告称,这家商店看起来是与 ESA 系统集成的,这可能会给该机构的员工带来风险。
Sansec 警告 ESA 商店已被入侵
Sansec 发现,用于提取信息的域名与销售 ESA 商品的合法商店所使用的名称相同,只是顶级域(TLD)有所不同。欧洲机构的官方商店使用的是 .com 的顶级域名“esaspaceshop”,而黑客使用相同名称但不同顶级域(TLD)的 .pics(即 esaspaceshop[.]pics),这一点在 ESA 商店的源代码中能够看到:
ESA 网络商店中注入的恶意 JavaScript
该脚本包含来自 Stripe SDK 的混淆 HTML 代码,当客户试图完成购买操作时,就会加载一个虚假的 Stripe 支付页面。值得注意的是,这个虚假的 Stripe 页面看上去并不可疑,特别是当该页面由 ESA 的官方网络商店提供。
ESA 的网络商店加载虚假的 Stripe 支付页面
网络应用程序安全公司 Source Defense Research 证实了 Sansec 的发现,并捕获到了在 ESA 官方网络商店中加载的虚假 Stripe 支付页面。目前 ESA 官网网络商店已经解决该问题,不再出现虚假的 Stripe 支付页面,但在网站的源代码中仍然能够看到恶意脚本。
ESA 表示,这家商店并非托管在其基础设施上,也不管理其上的数据,所以不用担心会影响 ESA 相关工作。通过简单的 WHOIS 查询可确认,这家商店的域名注册信息与 ESA 的官方域名(esa.int)分离,且注册人的联系方式被隐私保护掩盖。
ESA 在线商店的攻击事件是一个典型案例,反映出品牌授权模式在网络安全管理中的潜在风险。特别是当授权的外部平台未能执行严格的安全审查时,品牌自身的声誉和用户的安全都会受到威胁。
