ระวัง ตอนนี้พบแฮกเกอร์กำลังเก็บข้อมูลการชำระเงินบนเว็บไซต์กว่า 4,600 เว็บ

Willem de Groot ผู้ก่อตั้ง Sanguine Security ได้พบการโจมตีจากแฮกเกอร์ ซึ่งคาดว่ามาจากกลุ่มเดียวกัน โดยเป้าหมายของการโจมตีอยู่ที่บริการวิเคราะห์ข้อมูล Picreel กับ open-source project สำหรับสร้างฟอร์มเว็บไซต์ที่ชื่อว่า Alpaca Forms ซึ่งคาดว่ามีเว็บที่ได้รับผลกระทบกับการโจมตีครั้งนี้ประมาณ 4,600 เว็บ

สำหรับวิธีการโจมตีในครั้งนี้เกิดจาก เจ้าของเว็บจะนำโค้ด JavaScript ไปวางไว้บนเว็บของตน เพื่อให้ Picreel ทำงานเก็บข้อมูลเพื่อนำไปวิเคราะห์ถึงพฤติกรรมรวมไปถึงการใช้งานเว็บไซต์ ทำให้แฮกเกอร์สามารถใช้ช่องโหว่ของสคริปต์ทำการแทรกโค้ดที่เป็นอันตรายลงไปได้

ส่วน Alpaca Forms นั้นเป็น open-source ที่ทาง Cloud CMS ปล่อยออกมาเมื่อประมาณ 8 ปีที่แล้ว ซึ่งในตอนนี้ก็ยังคงเปิดให้บริการ CDN ฟรี ทำให้แฮกเกอร์ใช้ช่องโหว่นี้ทำการแก้ไขสคริปต์ Alpaca Forms ได้
แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ทำการขโมยข้อมูลการใช้งานของผู้ใช้ รวมไปถึงข้อมูลในหน้าการชำระเงิน, ข้อมูลการติดต่อ และข้อมูลการเข้าใช้งานระบบ

ในตอนนี้พบว่ามีโค้ดที่เป็นอันตรายถูกฝังอยู่บนเว็บที่ใช้สคริปต์ Picreel แล้วประมาณ 1,249 เว็บ และเว็บที่ใช้สคริปต์ Alpaca Forms ประมาณ 3,435 เว็บไซต์

จากการตรวจสอบของนักวิจัยพบว่าข้อมูลทั้งหมดถูกส่งไปยังเซิร์ฟเวอร์ที่อยู่ในประเทศปานามา ซึ่งในตอนนี้ทาง Cloud CMS ได้นำบริการ CDN ที่เป็น สคริปต์ Alpaca Forms ออกไปเรียบร้อยแล้ว และได้เริ่มทำการตรวจสอบพร้อมออกมาชี้แจงว่า “ในตอนนี้ไม่พบข้อมูลรั่วไหลหรือปัญหากับ Cloud CMS ไม่ว่าจะเป็นส่วนของลูกค้า หรือส่วนผลิตภัณฑ์”

Alpaca Forms เป็นโปรเจ็คโอเพ่นซอร์สสำหรับการสร้าง Web forms ซึ่งบริษัทผู้พัฒนาอย่าง Cloud CMS ปล่อยออกมาตั้งแต่ 8 ปีก่อนและยังคงให้บริการ CDN แก่โปรเจ็คอยู่แต่ดูเหมือนว่าแฮ็กเกอร์จะสามารถเจาะเข้าไปยัง CDN ที่บริษัทดูแลอยู่เพื่อเข้าไปแก้ไข Alpaca Forms Script แล้ว อย่างไรก็ตามหลังจากได้รับแจ้งทางบริษัทยืนยันว่าแฮ็กเกอร์ได้เข้าไปแก้ไขเพียงหนึ่งใน JavaScript ไฟล์ภายในโปรเจ็คบน CDN ของตนได้เท่านั้นและปัจจุบันได้จัดการ CDN ปัญหานั้นแล้วพร้อมกับย้ำว่า “ไม่พบปัญหารั่วไหลด้านความมั่นคงปลอดภัยหรือปัญหากับ Cloud CMS รวมไปถึงส่วนลูกค้าหรือผลิตภัณฑ์ของตน”

ในช่วง 2 ปีที่ผ่านมานี้การโจมตีแบบ SUPPLY-CHAIN เป็นที่นิยมในหมู่แฮกเกอร์ เพราะการเจาะเข้าเว็บหลักๆ ใหญ่ๆ นั้นไม่ง่ายอีกต่อแล้ว ทำให้แฮกเกอร์จึงหันมาโจมตีเว็บย่อยๆ ของเว็บหลักแทน เพื่อเจาะเข้าสู่เว็บเป้าหมายหลัก

ที่มา ZDNet