đŸ‡«đŸ‡· Compromission du portail d'abonnement L'Express Ă  des fins malveillantes.

đŸ”„ Une injection de code malveillant a Ă©tĂ© identifiĂ©e sur l'espace boutique d'un hebdomadaire français.

Les pages sont piégées par un code de type JavaScript payment card-skimmer. Celui-ci se charge d'ajouter des champs de saisie dans le navigateur de la victime afin de collecter et d'exfiltrer ses informations bancaires.

Credit: Anis H.

@socat@nanao.cybtex.fr Je serais curieux de savoir ce que donnera l'analyse tiens. Savoir si c'est une injection de code via un paquet npm Ă  la con, une stored-XSS ou une intrusion plus classique directement dans les sources.

La maitrise du Js qui tourne sur son site, ça devient foutrement critique et j'ai l'impression que peu d'éditeurs sont capable de faire ne serait-ce que l'inventaire
​:seriously_girl:​

Suivre

Bonjour @Darks. Ce n'est pas qu'une simple impression: c'est un constat.

Étonnamment, ce portail n'est toujours pas isolĂ© / nettoyĂ©. La rĂ©ponse sur incident se fait attendre.

Rares sont les sociétés qui osent la transparence à la suite d'un incident de sécurité « isolé ». Il est clair que les résumés d'audits ou les RETEX sont souvent riches d'enseignements.

Une chance qu'il s'agisse d'une menace gĂ©nĂ©rique connue ( Magecart ) sinon il n'y aurait peut-ĂȘtre pas eu ces relevĂ©s tĂ©lĂ©mĂ©triques de l'agent MBAM permettant de donner une alerte prĂ©coce. Doit-on en dĂ©duire que WAF, SIEM,.. sont aux abonnĂ©es absents ?

· · 0 · 0 · 0
Inscrivez-vous pour prendre part Ă  la conversation
nanao

Comme le soleil, les machines ne se couchent jamais.