知識星球上市前遭遇大負面,想必這是所有公司最不想看到的。而一週前放出訊息準備赴美上市的新蛋網,卻被曝出伺服器被註入惡意程式碼已經長達一個月,很可能已經影響數百萬付費使用者的信用卡資訊。
新蛋網也是一家電商網站,可能更多的是海淘黨比較熟悉。2001年新蛋網在美國洛杉磯成立,同年進入中國市場。這家曾經的美國第二大電商網站在2016年被中國聯絡互動公司收購,此後成為“雙向”跨境電商平臺,由此受到國內眾多海淘黨追捧。
一次精心策劃的潛伏、
最先發現伺服器中惡意程式碼的是 Volexity 與 RiskIQ 兩家公司,並及時告知新蛋網,從這次事件的報告中可以瞭解到駭客的潛伏過程。
首先駭客在8月13日透過 Namecheap 註冊了 neweggstats.com,域名跟新蛋官網的地址(newegg.com)很接近,很容易讓人以為是新蛋官方的某個資料站點。很快駭客便將該域名指向了自己事先準備好的伺服器(217.23.4.11),用於接受竊取的信用卡資訊。
在8月14日,攻擊者開始將惡意程式碼放到新蛋伺服器中。
當使用者在新蛋網上購買商品,需要經歷以下三個步驟:
1.將商品放入購物車
2.輸入收貨地址等資訊
3.當地址驗證有效,才會進入最後的付款階段:輸入信用卡資訊
值得註意的是,惡意程式碼本身放在付款處理的頁面上,而不是指令碼中,除非付款頁面被點選,否則就不會顯示。在新蛋網結帳過程中,Volexity 能夠驗證惡意 JavaScript 程式碼的存在,這些程式碼僅限於secure.newegg.com上的一頁。當使用者在結帳時移到付款資訊頁面時,惡意程式碼就會出現一次。這個頁面位於URL https://secure.newegg.com/globalshopps/checkoutstep2.aspx,它將收集表單資料,透過域neweggstats.com將其透過ssl/tls將其傳輸給攻擊者。
新蛋網註入的 15 行惡意程式碼
該惡意程式碼第一次活動在8月14日左右,而在9月18日確認已經被刪除,這意味著駭客已經在新蛋網頁面潛伏長達一個月的時間。安全人員推測此次駭客正是前段時間攻擊英國航空公司的是同一個團夥 MageCart,兩次行動採用相同的基本程式碼,只是根據不同環境做了變化。而且,新蛋網潛伏的惡意程式碼更加精簡,從22行精簡到了15行,隱藏地更好。
目前,新蛋網已經擁有3600萬註冊使用者、1400萬郵件訂閱使用者以及1700萬月獨立訪客,改寫全球50多個國家。而在這一個月的時間了,究竟有多少使用者的信用卡資訊被竊取依然無法查證。
駭客入侵事件或導致新蛋網推遲上市計劃
在得知該事件之後,新蛋在Twitter發出通知表示:伺服器被註入惡意軟體,我們正在確定駭客究竟獲取了哪些資訊,同時傳送郵件通知客戶潛在的影響。
在這個時間點曝出這種負面新聞,估計新蛋網以及聯絡互動都會措手不及。因為在一週前,聯絡互動釋出公告稱,公司臨時股東大會審議透過《關於公司所屬企業到境外上市方案的議案》,擬分拆旗下企業新蛋赴美上市。
根據公開的年報顯示,2016年和2017年新蛋的營收分別為人民幣152.16億元和145.71億元,虧損分別為人民幣9200萬元和6400萬元。而這次駭客入侵事件,雖然還沒公佈最終影響範圍,可以預估受影響的使用者不在少數,勢必給新蛋赴美上市又一重擊。很可能新蛋會就此繼續後延上市計劃,至少等這次危機淡去之後。
*本文作者:Andy.i,轉載請註明來自FreeBuf.COM
更多資訊
◈ ESET揪出六款虛假金融app 可竊取Android使用者信用卡資料
http://t.cn/Ev1ES2Q
比特幣軟體被曝DoS漏洞:開發者緊急修補
http://t.cn/Ev1E9P9
Canonical公佈Ubuntu 14.04 LTS的擴充套件安全維護專案
http://t.cn/Ev1Epoh
Mirai 僵屍網路作者與 FBI 合作而避免刑期
http://t.cn/Ev1ElF5
(資訊來源於網路,安華金和蒐集整理)
