巴克莱银行(Barclays Bank)可能会将Wayback Machine用作一些JavaScript的“CDN”

巴克莱银行(Barclays Bank)似乎一直在使用不亚于互联网档案馆(Internet Archive)的Wayback Machine作为内容分发网络来提供Javascript文件。

这一离奇的发现是推特用户@Immunda在周四发现的，他在周四发现这家英国金融机构正在从互联网档案馆打电话给JS。

在与巴克莱银行(Barclays)自动化Twitter DM聊天机器人进行了一场徒劳的争斗后不久，他宣布，他已经接通了一名承诺修复令人震惊的咆哮的人。

在“注册中心”的检查中，有问题的吼叫者似乎是从互联网档案馆的这个URL中调出了一个文件：

如果web.archive ve.org瘫痪，巴克莱的网站大概也会瘫痪。更糟糕的是，如果有人设法更改该URL处的JS文件，他们可能会注入…。嗯，他们喜欢什么都行。

除其他外，JS是Magecart金融凭证窃取团伙最喜欢的攻击媒介。

萨里大学的艾伦·伍德沃德教授告诉“纪事报”：这正是Magecart攻击得以兴旺发展的原因。归根结底，是组织整合了所有这些资产，包括那些从其他网站吸引来的资产，以确保他们有一个安全的网站，只有当你知道你的网站包括什么时，这才是真的。

他接着说：谁会使用互联网档案馆来提取重要的资产，比如Javascript文件，或者任何相关的文件？

这位教授向我们指出了信息安全研究员斯科特·赫尔梅(Scott Helme)在推特上的一条帖子，他走进了兔子洞，试图弄清楚巴克莱为什么要做这样一件明显愚蠢的事情。

此外，没有SRI，所以如果互联网档案馆想要提供一个键盘记录器，密码劫持JS，恶意重定向，重写DOM或插入一个类似MageCart的信用卡掠夺器，这一切都是公平的游戏😧pic.twitter.com/3OPFR2nGFW。

-斯科特·赫尔姆(@Scott_Helme)2020年7月2日。

这种做法并不是闻所未闻的，尽管正如一些人指出的那样，这是一个非常糟糕的想法，非营利组织并不是为了支持它而成立的。

infosec biz Eset的杰克·摩尔若有所思地说，这可能是某种严重出错的测试，他补充道：虽然没有借口，但这再次提醒我们，测试是一个全面而彻底的过程，尤其是在与金融机构打交道的时候。

我们已经要求巴克莱做出解释，它只会说：我们非常认真地履行保护客户数据的责任，这是头等大事。我们想让我们的客户放心，他们的数据不会因为这个错误而面临风险。

The Register-独立于科技界的新闻和观点。情况发布的一部分