سرقت اطلاعات پرداخت و رمز عبور کاربران ۴۶۰۰ سایت

هکرها با نفوذ به سرویس تحلیلگر Picreel و پروژه منبع باز Alpaca Forms به اطلاعات پرداخت و رمز عبور کاربران ۴۶۰۰ وب‌سایت دسترسی پیدا کرده اند.

این نوع از نفوذ، حمله زنجیره تامین نام دارد

مهاجمان طی این حملات فایل های جاوا اسکریپت شرکت ها را با فایل های دیگر جایگزین کرده و بدین ترتیب کدهای مخرب را به بیش از ۴۶۰۰ سایت تزریق کرده اند. کاربرد این کدها جمع آوری داده های کاربران نظیر اطلاعات پرداخت، لاگین، تماس و ارسال آنها به سروری در پاناما بوده است.

دلیل اصلی هدف گرفتن این دو سایت به کاربرد آنها برمی گردد، برای مثال Picreel به مالکان سایت‌ها اجازه می دهد از طریق تحلیل نحوه تعامل کاربران با سایت و الگوهای رفتاری آنها، نرخ تبدیل (نسبت بازدیدکننده به خریدار) را افزایش دهند. مشتریان Picreel برای دستیابی به این سرویس باید یک قطعه کد جاوا اسکریپت را به سایتشان اضافه کنند. هکرها هم برای رسیدن به هدف این قطعه کد را تغییر داده اند.  پروژه منبع باز Alpaca Forms

پروژه منبع باز Alpaca Forms برای ساختن فروم مورد استفاده قرار می گیرد. هکرها با نفوذ به شبکه تحویل محتوا (CDN) و تغییر یک اسکریپت Alpaca Form کد مخرب را منتشر کرده اند. این پروژه توسط Cloud CMS توسعه یافته و به گفته آنها مهاجمان تنها یک فایل جاوا اسکریپت را تغییر داده اند.

در این حمله ۳۴۳۵ سایت مبتنی بر Alpaca Forms و ۱۲۴۹ سایت میزبان Picreel مورد هجوم قرار گرفته اند. در حال حاضر هویت مهاجمان مشخص نیست اما کد مخرب آنها در نهایت توسط Picreel و Cloud CMS حذف شده است.

این نوع رخنه های امنیتی که با عنوان «حمله زنجیره تامین» شناخته می شوند، در سال های اخیر روند رو به رشدی داشته اند. دلیل افزایش حملات این است که هکرها دریافته اند نفوذ به سایت های بزرگ چندان ساده نیست اما از طریق کدهای ثانویه می توان منافع آنها را به خطر انداخت.

منبع:
zdnet
برچسب ها

مطالب مرتبط

اپل و آمازون نفوذ هکرهای چینی از طریق چیپ های جاسوسی را انکار می کنند

خبرگزاری بلومبرگ به تازگی مطلبی را منتشر کرده و در آن از نفوذ هکرهای چینی به شبکه اطلاعاتی شرکت های اپل و آمازون با استفاده از چیپ های جاسوسی خبر داده است. در این گزارش آمده که شاخه سایبری ارتش آزادی بخش خلق چین، با قرار دادن چیپ های بسیار ریز (در ابعاد دانه برنج) درون... ادامه مطلب

گروه هکری Lizard Squad مسئولیت حمله به سرویس Xbox Live را بر عهده گرفت

در حال حاضر گفته می شود کاربران برای ورود به اشتراک Xbox Live خود دچار مشکل هستند و گروه هکری موسوم به Lizard Squad اعلام کرده علت این امر حمله ای است که آنها بر روی این سرویس صورت داده اند. از سوی دیگر صفحه صورت وضعیت سرویس های مایکروسافت در مورد بروز مشکل در... ادامه مطلب

آمریکایی ها می گویند پوتین مستقیماً در کمپین پیروزی ترامپ نقش داشته است

دستگاه امنیتی ایالات متحده همانطور که پیش تر وعده داده بود، با انتشار یک گزارش دولت روسیه را به انجام هک گسترده برای تحت تاثیر قرار دادن نتایج انتخابات آمریکا متهم کرد. بر اساس این گزارش ولادیمیر پوتین که مهره ی اصلی این ماجرا به حساب می آید، پیش از انتخابات دستوری صادر کرده بود تا... ادامه مطلب

کشف راهکاری برای نفوذ به تلفن های هوشمند و در دست گرفتن کنترل دستیاران صوتی سیری و Google Now

Wired گزارش کرده محققینی که برای دولت فرانسه مشغول به کار هستند راه حلی را کشف نموده اند که بوسیله ی آن می توانند از راه دور و بدون جلب توجه، به تلفن های هوشمند کاربران نفوذ کرده و کنترل دستیارهای صوتی گوگل ناو و سیری را روی این محصولات در دست گیرند. روش مورد بحث... ادامه مطلب

هک اسکوتر برقی شیائومی M365 می‌تواند قربانی را به کام مرگ بکشد [تماشا کنید]

نگرانی‌های زیادی راجع به امنیت اسکوتر‌های برقی وجود دارد و به نظر می‌رسد یک نگرانی تازه هم پیش آمده باشد. محققان بخش امنیتی یک شرکت به نام Zimperium یک آسیب پذیری در اسکوتر برقی شیائومی M365 یافته‌اند که به هکر اجازه می‌دهد کنترل سرعت و توقف اسکوتر‌های برقی را از راه دور به دست بگیرد. با... ادامه مطلب

هکر‌ها با بهره‌مندی از کد مخرب NSA موفق شدند به ده‌ها هزار روتر نفوذ کنند

به نظر می‌رسد هکر‌ها توانسته‌اند با استفاده از کد‌های مخرب مایکروسافت -که سال گذشته پس از کش و قوس با آژانس امنیت ملی ایالات متحده به صورت عمومی در اختیار همه قرار گرفته بود- به حدود ۴۵ هزار روتر در سرتاسر دنیا نفوذ داشته باشند. ارائه دهنده‌ی خدمات ابری و انتقال دهنده‌ی شبکه‌ای محتوا یعنی شرکت... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x