Avrupa Uzay Ajansı’nın resmi web mağazası, ödeme sırasında sahte Stripe ödeme sayfası oluşturan bir JavaScript kodu parçası yüklemeye başladığında saldırıya uğradı.
10 milyar avroyu aşan bir bütçeye sahip olan Avrupa Uzay Ajansı’nın (ESA) misyonu, evrenin gizemlerini keşfetmek için astronotları eğiterek ve roketler ve uydular inşa ederek uzay faaliyetlerinin sınırlarını genişletmektir.
ESA ürünlerini satma lisansına sahip web mağazası şu anda kullanılamıyor ve “geçici olarak yörüngeden çıktığı” mesajını gösteriyor.
Kötü amaçlı komut dosyası dün ajansın sitesinde ortaya çıktı ve satın alma işleminin son aşamasında sağlanan ödeme kartı verileri de dahil olmak üzere müşteri bilgilerini topladı.
E-ticaret güvenlik şirketi Sansec, dün kötü amaçlı senaryoyu fark etti ve mağazanın ESA sistemleriyle entegre göründüğünü ve bunun kurum çalışanları için risk oluşturabileceği konusunda uyardı.
Sansec, bilgilerin sızmasına yönelik alan adının, ESA ürünleri satan meşru mağazanın kullandığı alan adı ile aynı olduğunu ancak farklı bir üst düzey alan adına (TLD) sahip olduğunu buldu.
Avrupa ajansının resmi mağazası .com TLD’de “esaspaceshop”u kullanırken, bilgisayar korsanı .pics TLD’de aynı adı kullanıyor (yani esaspaceshop)[.]resimler), ESA mağazasının kaynak kodunda görüldüğü gibi:
Komut dosyası, müşteriler bir satın alma işlemini tamamlamaya çalıştığında sahte bir Stripe ödeme sayfası yükleyen Stripe SDK’dan gizlenmiş HTML kodu içeriyordu.
Sahte Stripe sayfasının özellikle resmi ESA web mağazasından sunulduğu göz önüne alındığında şüpheli görünmediğini belirtmekte fayda var.
Bir web uygulaması güvenlik şirketi olan Source Defense Research, Sansec’in bulgularını doğruladı ve ESA’nın resmi web mağazasına yüklenen sahte Stripe ödeme sayfasını ele geçirdi.
BleepingComputer, uzlaşmayla ilgili ayrıntılar için dün ESA’ya ulaştı. Bugün bir yanıt almadan önce, web mağazasının artık sahte Stripe ödeme sayfası sunmadığını ancak kötü amaçlı komut dosyasının sitenin kaynak kodunda hâlâ görünür olduğunu fark ettik.
Daha sonraki iletişimde ESA, mağazanın kendi altyapısında barındırılmadığını ve ajansın verileri yönetmemesi nedeniyle mağazanın sahibi olmadığı için içindeki verileri yönetmediğini söyledi.
Bu, ESA’nın etki alanına (esa.int) ve iletişim verilerinin gizlilik amacıyla çıkarıldığı web mağazasına ilişkin tüm ayrıntıları gösteren basit bir whois aramasıyla doğrulanabilir.