Lo shop online dell’Agenzia Spaziale Europea (ESA) è stato compromesso da ignoti cybercriminali alla vigilia di Natale. Attraverso uno script era possibile intercettare i dati di pagamento dei visitatori e quelli dei dipendenti dell’agenzia. Il sito è stato successivamente ripulito e ora è possibile effettuare gli acquisti in sicurezza.
Pagina di pagamento Stripe fasulla
Sullo shop si trova il merchandising dell’ESA, ma lo sviluppo e la gestione del sito è stato affidato a Olly Services, azienda italiana di Monte Porzio Catone (Roma). Gli esperti di Sansec hanno scoperto uno script nel codice sorgente del sito il 23 dicembre. Uno degli obiettivi dei cybercriminali era rubare i dati dei dipendenti dell’agenzia spaziale, in particolare l’indirizzo email al momento del login.
Lo script conteneva anche codice HTML offuscato dello Stripe SDK che consentiva il caricamento della pagina di pagamento Stripe fasulla, quando gli utenti completavano l’acquisto. Il server al quale venivano inviati i dati era ospitato sul dominio esaspaceshop che sembrava legittimo. In realtà si trattava di esaspaceshop.pics e non di esaspaceshop.com.
Anche se la pagina di pagamento aveva un design molto diverso da quella legittima, gli utenti potevano essere tratti in inganno dal nome di dominio. BleepingComputer ha contattato ESA, ma prima di ricevere una risposta è stata eliminata la pagina fake. Successivamente l’agenzia spaziale ha comunicato che lo store non è ospitato sulle sue infrastrutture e che i dati sono gestiti da terze parti.
Con un Whois Lookpup si scopre che il dominio è stato registrato su Tucows e rivenduto da Aruba. Non sono però visibili altri dati per motivi di privacy.
Ti potrebbe interessare
27 dic 2024