Technologijų milžinė „Toshiba“ ir didelė mažmenininkė „Muji“ perspėjo lankytojus, kad jų svetainėse pasirodę įtartini prisijungimo ekranai gali rinkti kredencialus.
Abi Japonijos bendrovės patarė naudotojams, įvedusiems savo paskyros prisijungimo duomenis autentifikavimo ekranuose, pakeisti slaptažodžius, kad galėtų naudotis paslauga.
Prisijungimo iššokančiuosius langus sugeneravo išorinė paslauga, priglobta „polyfill(.)io“, kuri 2024 m. įtraukė kenkėjišką kodą į scenarijus, kuriuos pristato CDN.
„Patvirtinome, kad kai kuriose mūsų svetainės dalyse gali būti rodomas prisijungimo ekranas, kaip parodyta toliau. Šiuo metu stengiamės pašalinti šį ekraną, bet jei jį matote, pasirinkite „Atšaukti“ neįvesdami jokios informacijos“, – trumpame pranešime teigė „Toshiba“.
Šaltinis: Toshiba
Japonijos mažmeninės prekybos milžinė Muji anksčiau šią savaitę paskelbė panašų pranešimą, perspėdamas svetainės lankytojus apie įtartinus autentifikavimo ekranus, kuriuos sukuria išorinė paslauga „polyfill(.)io“.
„Šiuo metu nepatvirtinome jokios neteisėtos prieigos ar informacijos nutekėjimo į šią svetainę, tačiau, siekdami užtikrinti mūsų klientų saugumą, prašome apsvarstyti jūsų atsakymą“, – teigia Muji.
Tiek „Toshiba“, tiek „Muji“ išsprendė problemą ir sustabdė paslaugą.
Japonijos žiniasklaidos priemonės pranešė, kad ta pati problema taip pat paveikė Zojirushi, FiNC Technologies, Ishiyaku Publishers ir internetinės leidybos prekės ženklą Hobonichi.
Saugumo tyrinėtojas Pasquale'as Pillitteris teigia, kad „Samsung“ išmanieji televizoriai ir svetainės taip pat rodė prisijungimo raginimą birželio 1 d.
Kai kuriose ataskaitose teigiama, kad problemą sukėlė „polyfill(.)io“ incidentas 2024 m., kai Kinijos subjektas įsigijo domeną ir pridėjo kenkėjiškų scenarijų, kurie paveikė daugiau nei 100 000 „Polyfill“ paslaugą naudojančių svetainių.
„Polyfill“ yra „JavaScript“ CDN, skirtas pasenusioms naršyklėms, leidžiantis jose veikti šiuolaikinėms svetainėms, suteikiant nepalaikomų technologijų suderinamumo sluoksnį.
„Polyfill“ kodas buvo pristatytas per CDN adresu polyfill (.io), nors domenas nepriklauso atvirojo kodo projekto kūrėjui Andrew Bettsui. Taigi, pasibaigus domeno galiojimo laikui, į jį galėjo pretenduoti bet kas.
Tuo metu „Betts“ atsakė viešai, rekomendavo svetainių savininkams pašalinti paslaugą iš savo svetainių ir iš naujo paleido „JavaScript“ CDN paslaugą naujame domene polyfill.com, o vėliau apsistojo adresu polyfill.top.
Nors „polyfill(.)io“ paslaugos išjungimas sustabdė peradresavimus, kai kurioms paslaugą naudojančioms svetainėms per pastaruosius dvejus metus nepavyko išvalyti visų puslapių, todėl liko „Polyfill“ kodo likučiai.
Pillitteri praneša, kad nuo 2026 m. gegužės pabaigos polifill(.)io domenas vėl tapo aktyvus ir pradėjo atsakyti HTTP 401 autentifikavimo užklausomis.
Vartotojų naršyklės, besilankančios tokiuose puslapiuose kaip Toshiba ir MUJI, tai supranta kaip vartotojo vardo ir slaptažodžio užklausą, todėl pateikia prisijungimo raginimą.
Šiuo metu nėra jokių požymių, kad į paveiktas svetaines buvo įsilaužta arba kad šiuose nesąžininguose prisijungimo ekranuose įvesti kredencialai buvo pavogti. Tačiau vartotojams primygtinai rekomenduojama būti atsargiems dėl netikėtų autentifikavimo raginimų.
Apsaugos komandos registruoja 54% sėkmingų atakų ir įspėja tik apie 14%. Likusieji juda per jūsų aplinką nematyti.
„Picus“ informaciniame dokumente parodyta, kaip pažeidimo ir atakos modeliavimas tikrina jūsų SIEM ir EDR taisykles, kad aptiktos grėsmės nustotų slysti.
Gaukite baltą lapą
