歡迎光臨
每天分享高質量文章

【每日安全資訊】服務器遭黑客潛伏一個多月,這家公司原本打算赴美上市的

上市前遭遇大負面,想必這是所有公司最不想看到的。而一周前放出訊息準備赴美上市的新蛋網,卻被曝出服務器被註入惡意代碼已經長達一個月,很可能已經影響數百萬付費用戶的信用卡信息。

新蛋網也是一家電商網站,可能更多的是海淘黨比較熟悉。2001年新蛋網在美國洛杉磯成立,同年進入中國市場。這家曾經的美國第二大電商網站在2016年被中國聯絡互動公司收購,此後成為“雙向”跨境電商平臺,由此受到國內眾多海淘黨追捧。

一次精心策劃的潛伏、

最先發現服務器中惡意代碼的是 Volexity 與 RiskIQ 兩家公司,並及時告知新蛋網,從這次事件的報告中可以瞭解到黑客的潛伏過程。

首先黑客在8月13日通過 Namecheap 註冊了 neweggstats.com,域名跟新蛋官網的地址(newegg.com)很接近,很容易讓人以為是新蛋官方的某個資料站點。很快黑客便將該域名指向了自己事先準備好的服務器(217.23.4.11),用於接受竊取的信用卡信息。

在8月14日,攻擊者開始將惡意代碼放到新蛋服務器中。

當用戶在新蛋網上購買商品,需要經歷以下三個步驟:

1.將商品放入購物車

2.輸入收貨地址等信息

3.當地址驗證有效,才會進入最後的付款階段:輸入信用卡信息

值得註意的是,惡意代碼本身放在付款處理的頁面上,而不是腳本中,除非付款頁面被點擊,否則就不會顯示。在新蛋網結帳過程中,Volexity 能夠驗證惡意 JavaScript 代碼的存在,這些代碼僅限於secure.newegg.com上的一頁。當用戶在結帳時移到付款信息頁面時,惡意代碼就會出現一次。這個頁面位於URL https://secure.newegg.com/globalshopps/checkoutstep2.aspx,它將收集表單資料,通過域neweggstats.com將其通過ssl/tls將其傳輸給攻擊者。

新蛋網註入的 15 行惡意代碼

該惡意代碼第一次活動在8月14日左右,而在9月18日確認已經被刪除,這意味著黑客已經在新蛋網頁面潛伏長達一個月的時間。安全人員推測此次黑客正是前段時間攻擊英國航空公司的是同一個團夥 MageCart,兩次行動採用相同的基本代碼,只是根據不同環境做了變化。而且,新蛋網潛伏的惡意代碼更加精簡,從22行精簡到了15行,隱藏地更好。

目前,新蛋網已經擁有3600萬註冊用戶、1400萬郵件訂閱用戶以及1700萬月獨立訪客,改寫全球50多個國家。而在這一個月的時間了,究竟有多少用戶的信用卡信息被竊取依然無法查證。

黑客入侵事件或導致新蛋網推遲上市計劃

在得知該事件之後,新蛋在Twitter發出通知表示:服務器被註入惡意軟體,我們正在確定黑客究竟獲取了哪些信息,同時發送郵件通知客戶潛在的影響。

在這個時間點曝出這種負面新聞,估計新蛋網以及聯絡互動都會措手不及。因為在一周前,聯絡互動發佈公告稱,公司臨時股東大會審議通過《關於公司所屬企業到境外上市方案的議案》,擬分拆旗下企業新蛋赴美上市。

根據公開的年報顯示,2016年和2017年新蛋的營收分別為人民幣152.16億元和145.71億元,虧損分別為人民幣9200萬元和6400萬元。而這次黑客入侵事件,雖然還沒公佈最終影響範圍,可以預估受影響的用戶不在少數,勢必給新蛋赴美上市又一重擊。很可能新蛋會就此繼續後延上市計劃,至少等這次危機淡去之後。

*本文作者:Andy.i,轉載請註明來自FreeBuf.COM

更多資訊

◈ ESET揪出六款虛假金融app 可竊取Android用戶信用卡資料

http://t.cn/Ev1ES2Q

比特幣軟體被曝DoS漏洞:開發者緊急修補

http://t.cn/Ev1E9P9

Canonical公佈Ubuntu 14.04 LTS的擴展安全維護專案

http://t.cn/Ev1Epoh

Mirai 僵屍網絡作者與 FBI 合作而避免刑期

http://t.cn/Ev1ElF5

(信息來源於網絡,安華金和搜集整理)


赞(0)

分享創造快樂