Magecart हैकर ग्रुप 17,000 डोमेन – और गिनती हिट करता है


तुम शायद नहीं Magecart नाम को पहचानें, लेकिन आपने इसका प्रभाव देखा है। परिष्कृत हैकिंग समूहों का एक समूह, Magecart पिछले कुछ वर्षों के कुछ बड़े हैक के पीछे रहा है, ब्रिटिश एयरवेज से लेकर टिकटमास्टर तक, सभी क्रेडिट कार्ड नंबर चोरी करने के विलक्षण लक्ष्य के साथ। उन्हें वेब के एटीएम स्किमर्स के रूप में सोचें। और खराब सुरक्षा स्वच्छता के लिए धन्यवाद, वे पिछले कुछ महीनों में 17,000 डोमेन हिट करने में कामयाब रहे।

खतरे का पता लगाने वाली फर्म रिस्कआईक्यू की एक नई रिपोर्ट में बताया गया है कि कैसे मेकार्ट हैकर्स ने अमेज़ॅन एस 3 बाल्टी-क्लाउड रिपॉजिटरी को स्कैन करने का एक तरीका खोजा है, जो साइटों और कंपनियों के लिए डेटा और अन्य बैकएंड की आवश्यकताएं रखती हैं – किसी के लिए भी गलत हैं जो अमेज़ॅन वेब सेवा खाते के साथ किसी को भी अनुमति देने के लिए गलत हैं। न केवल उनकी सामग्री को पढ़ने के लिए, लेकिन जो कुछ भी वे चाहते हैं उन्हें लागू करते हुए, उन्हें लिखें। जैसे, कहते हैं, ई-कॉमर्स साइटों से क्रेडिट कार्ड नंबर चोरी करने वाला कोड डालना।

हैक

अप्रैल के प्रारंभ में रिस्कआईक्यू ने गतिविधि को ट्रैक किया है; मई में कई इंटरनेट सप्लाई चेन कंपनियों के समझौता करने के बाद पहली बार इस तकनीक पर ध्यान दिया गया। Magecart समूहों ने अतीत में तैनात किए गए विशिष्ट लक्षित हमलों के बजाय, हालांकि, ये एक नई "स्प्रे और प्रार्थना" तकनीक का हिस्सा बन गए। Magecart हैकर्स सबसे संभावित साइटों के कोड में फेरबदल करते हुए व्यापक संभव नेट की कास्टिंग कर रहे थे, जिनके पास अपने प्रयासों को सार्थक बनाने के लिए क्रेडिट कार्ड की प्रक्रिया करने वाली पर्याप्त साइटों को पकड़ने की उम्मीद में कोई ईकॉमर्स फ़ंक्शन नहीं था।

"अभी भी चल रही है, क्योंकि हम अभी बात कर रहे हैं," रिस्कआईक्यू खतरा शोधकर्ता योनथन क्लिजम्मा कहते हैं। “ये सभी लोग कर रहे हैं बस एस 3 बाल्टी को खोजने की कोशिश कर रहे हैं जो गलत तरीके से लगाए गए हैं। और उनके स्किमर हर जगह मिल रहे हैं। ”

विशेष रूप से, एक बार हैकर्स को ठीक से गलत S3 बाल्टी मिल जाने के बाद, वे किसी भी जावास्क्रिप्ट फाइल की पहचान करने के लिए एक स्कैन चलाते हैं। क्योंकि बाल्टी की अनुमतियाँ किसी को भी कोड लिखने देती हैं, हमलावर फ़ाइल पर अपने Magecart मैलवेयर से निपटते हैं, फिर उस स्क्रिप्ट को अधिलेखित कर देते हैं जो वहां थी। कल्पना कीजिए कि अगर कोई बैंक एक चॉकबोर्ड पर अपने टेलर को असंगत निर्देश छोड़ने के लिए था। यदि आपके पास भी चाक है, और थोड़ा कमरा मिल सकता है, तो आप बहुत परेशानी पैदा कर सकते हैं।

कौन प्रभावित हुआ है?

यह जितना लगता है उससे कहीं अधिक जटिल प्रश्न है। सबसे आसान जवाब है: 17,000 डोमेन और काउंटिंग, जिसमें रिस्कआईक्यू भी शामिल है, कुछ कहते हैं कि दुनिया की 2,000 सबसे बड़ी साइटों में से एक हैं।

लेकिन उन साइटों में से कई में क्रेडिट कार्ड लेनदेन की प्रक्रिया नहीं होती है, जिससे Magecart कोड म्यूट प्रदान होता है। यह भी स्पष्ट नहीं है कि कितने वास्तविक S3 बाल्टी प्रभावित होते हैं, क्योंकि कई डोमेन एक ही वापस लिंक कर सकते हैं। तो वास्तविक जवाब, जो मायने रखता है, वह "आक्रामक तरीके से गलत S3 बाल्टियों से जुड़े डोमेन" द्वारा गठित वेन आरेख के केंद्र में बैठता है और "क्रेडिट कार्ड भुगतान की प्रक्रिया करने वाले डोमेन।" या इस बिंदु पर, किसी को भी भुगतान करने के लिए पर्याप्त दुर्भाग्यपूर्ण। हमले के हल होने से पहले उन साइटों में से कुछ पर।

जिससे थोड़ी देर लग सकती थी। RiskIQ अमेज़न के साथ काम कर रहा है ताकि प्रभावित व्यवस्थापकों को उनके जोखिम के बारे में सूचित किया जा सके, लेकिन 17,000 डोमेन को बर्बाद करने में समय लगता है। जैसा कि आवश्यक बैकएंड समायोजन करता है।

यह कितना बुरा है?

समझौता किए गए ई-कॉमर्स साइटों का मुद्दा, हालांकि कई वास्तव में वहां हैं, स्पष्ट प्रभाव होंगे। लेकिन बड़ी समस्या हमले के तरीके से ही उपजी है।

अमेज़न S3 बाल्टी डिफ़ॉल्ट रूप से सुरक्षित हैं। जब वे सक्रिय रूप से उन अनुमतियों को बदलते हैं, तो वे विकास की प्रक्रिया में या जब वे किसी तृतीय-पक्ष ठेकेदार को क्लाउड काम सौंपते हैं, तो कंपनियां मुश्किल में पड़ जाती हैं। उन अमेज़ॅन S3 बाल्टी मिसकॉन्फ़िगरेशन के कारण पहले काफी समस्याएं हुई हैं। नतीजा, हालांकि, आमतौर पर व्यक्तिगत रूप से पहचाने जाने योग्य जानकारी, उपयोगकर्ता नाम और पासवर्ड और जन्मदिन और सामाजिक सुरक्षा संख्या के विशाल डेटाबेस के संपर्क तक सीमित था, जो बिक्री के लिए या मुफ्त में, डार्क वेब और अन्य जगहों पर प्रसारित होता है। क्योंकि वे नासमझ आम तौर पर देते हैं पढ़ना वार्ताकारों के लिए अनुमति है, लेकिन करने की क्षमता नहीं है लिखो कोड। मैजकार्ट हैकर्स ने गलतफहमी के लिए स्कैन करने का एक तरीका निकाला जो दोनों करते हैं – और अब वे 17,000 कमजोर डोमेन को जानते हैं।

"यह गलत धारणा का एक नया स्तर है," क्लिजम्मा कहते हैं। “ये बाल्टियाँ किसी के भी पास होती हैं जो उससे बात करती हैं, जो एक अलग पैमाने पर है, एक अलग प्रकार का डेटा रिसाव है। बहुत ज्यादा कोई भी उन S3 बाल्टियों में कुछ भी कर सकता है, और उन तक पहुंच काफी बड़ी है। ”

Magecart हैकर्स का एक विलक्षण फ़ोकस है: क्रेडिट कार्ड स्किमिंग। लेकिन ऐसे समूह की कल्पना करना कठिन नहीं है जो अधिक बड़ा सोचता है, या कम से कम अधिक अराजक तुला के साथ। एक ही तकनीक के साथ, आप एक ही साइट पर सभी प्रकार के मैलवेयर को जोड़ सकते हैं।

अमेज़ॅन ने अपने क्लाउड ग्राहकों को इस प्रकार के हमले में मदद करने के लिए उपकरण विकसित किए हैं, जिसमें अनिवार्य रूप से एक-क्लिक "ब्लॉक पब्लिक एक्सेस" विकल्प शामिल है, जो कि अंतिम गिरावट को रोल आउट करता है। Tweak कि एक सेटिंग, और यह समस्या दूर हो जाती है। स्पष्ट रूप से, विनाशकारी रूप से, हजारों डोमेन अभी भी संभावित विनाशकारी परिणामों के साथ, अपने बुनियादी ढांचे को बंद नहीं कर रहे हैं।

"कोई भी इस पर ध्यान नहीं देता है," क्लिजम्मा कहते हैं, "और यह अभी भी इस तरह के एक पागल दर पर चल रहा है।"


अधिक महान WIRED कहानियां