Hackerii au spart magazinul web oficial al Agenției Spațiale Europene (ESA) și au injectat cod JavaScript malițios pentru a fura datele personale și de plată ale cumpărătorilor.

Scriptul rău intenționat a fost descoperit de compania de securitate pentru comerțul electronic Sansec, care a avertizat că unul dintre riscuri era colectarea datelor de login pentru platforma ESA.

Produse cu logo-ul ESA sunt vândute în mod oficial pe site-ul esaspaceshop.com care însă nu este deținut sau administrat de agenție.

Pentru a exfiltra datele, atacatorul a înregistrat un domeniu cu același nume dar cu un domeniu de nivel superior (top-level domain > TLD) diferit. Diferență constă în sufixul .pics pentru site-ul atacatorului și .com pentru cel oficial.

După injectarea pe magazinul oficial ESA, scriptul JavaScript rău intenționat încărca pe pagina pentru finalizarea cumpărăturilor o pagină falsa de plată prin platforma Stripe.

Cum pagina falsă era servită de magazinul web oficial ESA, un cumpărător nu ar fi putut recunoaște încercarea de fraudare.

Compania de securitate a aplicațiilor web Source Defense Research a confirmat în mod independent concluziile Sansec și a capturat pagina falsă Stripe servită pe site-ul oficial al magazinului ESA.

Din informațiile obținute de BleepingComputer, magazinul ESA nu era găzduit pe infrastructura agenției și toate datele de pe site erau deținute și administrate de un terț acreditat.

La scurt timp după ce Sansec a anunțat breșa, magazinul oficial ESA a devenit indisponibil temporar. În momentul de față, scriptul JavaScript al atacatorului nu mai este prezent în codul sursă al site-ului și magazinul funcționează la parametri normali.