Пользователи обнаружили, что банк Barclays использовал сервис Wayback Machine, принадлежащий «Архиву интернета», для загрузки jаvascript-файла.

Странное открытие сделал сотрудник Raspberry Pi Foundation, известный в Twitter под ником Immunda. Он обратил внимание, что один из крупнейших в Великобритании и мире банков обращается к «Архиву интернета» по адресу web.archive[.]org/web/20200601165625/https://www.barclays.co.uk/content/dam/jаvascript/dtm/target.js для загрузки какого-то JS-скрипта.

Исследователь долго (и безуспешно) общался с автоматическим чат-ботом банка, но затем сообщил, что все-таки сумел дозвониться до живого человека, который пообещал исправить эту странную и потенциально опасную проблему.

Дело в том, что если Wayback Machine вдруг выйдет из строя, вероятно, из-за этого сломается и сайт Barclays. Хуже того, если кому-то удастся изменить jаvascript-файл по указанному адресу, он сможет внедрить на сайт банка что угодно. К примеру, JS-скрипты являются излюбленным орудием хакеров для атак MageCart.

Британский ИБ-специалист Скотт Хелме (Scott Helme)  попытался разобраться в том, почему сотрудники Barclays допустили столь очевидную и глупую ошибку. Он предполагает, что на сайте банка нет CSP, поэтому все могут свободно добавлять в код сторонние jаvascript-файлы без каких-либо ограничений.­

Глава Wayback Machine Марк Грэм (Mark Graham) прокомментировал ситуацию так:

Фото: Immunda