🇫🇷 Compromission du portail d'abonnement L'Express à des fins malveillantes.
🔥 Une injection de code malveillant a été identifiée sur l'espace boutique d'un hebdomadaire français.
Les pages sont piégées par un code de type JavaScript payment card-skimmer. Celui-ci se charge d'ajouter des champs de saisie dans le navigateur de la victime afin de collecter et d'exfiltrer ses informations bancaires.
Credit: Anis H.
Bonjour @mmu_man
Qu'entendez-vous par publication ?
@socat genre un truc de l'ANSSI ? ou eux-même sur leur site ?
@mmu_man D'accord. Le Groupe Altice Media a été notifié de l'incident. Pour l'heure, aucun signe de communication sur le compte Twitter.
Ci-dessous, la source du tweet:
@socat@nanao.cybtex.fr Je serais curieux de savoir ce que donnera l'analyse tiens. Savoir si c'est une injection de code via un paquet npm à la con, une stored-XSS ou une intrusion plus classique directement dans les sources.
La maitrise du Js qui tourne sur son site, ça devient foutrement critique et j'ai l'impression que peu d'éditeurs sont capable de faire ne serait-ce que l'inventaire :seriously_girl:
Bonjour @Darks. Ce n'est pas qu'une simple impression: c'est un constat.
Étonnamment, ce portail n'est toujours pas isolé / nettoyé. La réponse sur incident se fait attendre.
Rares sont les sociétés qui osent la transparence à la suite d'un incident de sécurité « isolé ». Il est clair que les résumés d'audits ou les RETEX sont souvent riches d'enseignements.
Une chance qu'il s'agisse d'une menace générique connue ( Magecart ) sinon il n'y aurait peut-être pas eu ces relevés télémétriques de l'agent MBAM permettant de donner une alerte précoce. Doit-on en déduire que WAF, SIEM,.. sont aux abonnées absents ?
@socat y a une publication officielle ?