26/12/24
Магазин товаров Европейского космического агентства (ESA) подвергся атаке, в результате которой злоумышленники внедрили вредоносный скрипт для загрузки поддельной страницы оплаты через Stripe. Этот инцидент был выявлен 23 декабря, когда на финальном этапе покупки скрипт собирал данные пользователей, включая данные банковских карт, пишут в Securitylab.
ESA, с бюджетом более 10 миллиардов евро, занимается расширением границ космических исследований, включая подготовку астронавтов, разработку ракет и спутников. Интернет-магазин, лицензированный для продажи сувениров ESA, временно приостановил работу, оставив на сайте сообщение о том, что он «временно вне орбиты» .
Компания Sansec, занимающаяся безопасностью электронной коммерции, обнаружила вредоносный код и предупредила, что интеграция магазина с системами ESA может представлять угрозу не только для покупателей, но и для сотрудников агентства.
Вредоносный код, размещённый на официальном магазине ESA, отсылал данные на домен, схожий с оригинальным, но использующий другую доменную зону (TLD). Вместо официального «esaspaceshop[.]com» злоумышленники использовали домен «esaspaceshop[.]pics», что было зафиксировано в исходном коде сайта.
Исследователи из Source Defense подтвердили, что фальшивая страница оплаты была замаскирована под оригинальную, используя элементы из SDK Stripe. Визуально поддельная страница не вызывала подозрений, так как загружалась напрямую с сайта ESA.
Сегодня магазин перестал отображать фальшивую страницу оплаты, но вредоносный скрипт всё ещё присутствует в исходном коде. В ESA заявили, что магазин работает на инфраструктуре стороннего подрядчика, и агентство не управляет его данными. Whois-проверка подтверждает, что домен ESA и его магазин зарегистрированы отдельно.
