Official European Space Agency store hacked to steal credit cards

欧州宇宙機関(ESA)の公式ウェブショップが、チェックアウト時に偽のStripe決済ページを生成するJavaScriptコードを読み込み始め、ハッキングされた。

100億ユーロを超える予算を持つ欧州宇宙機関(ESA)の使命は、宇宙飛行士を訓練し、宇宙の謎を探るためのロケットや人工衛星を作ることで、宇宙活動の限界を広げることである。

ESAグッズを販売するためのウェブストアは現在利用できず、”一時的に軌道から外れている “というメッセージが表示されている。

悪意のあるスクリプトは昨日、同機関のサイトに現れ、購入の最終段階で提供された支払いカード・データを含む顧客情報を収集した。

Eコマース・セキュリティー会社Sansecは昨日、この悪意あるスクリプトに気づき、このストアはESAのシステムと統合されているようで、ESAの職員に危険をもたらす可能性があると警告した。

Sansec warning that ESA's website was hacked
Sansec、ESAのストアが侵害されたと警告

Sansecは、情報を流出させるためのドメインが、ESAの商品を販売する正規の店舗で使用されているものと同じ名前であるが、トップレベルドメイン(TLD)が異なることを発見した。

欧州機関の公式ショップが.com TLDで「esaspaceshop」を使用しているのに対し、ハッカーはESAのショップのソースコードに見られるように、同じ名前を.pics TLD(すなわちesaspaceshop[.]pics)で使用している:

Malicious JavaScript on ESA's web shop
ESAのウェブストア
のソースに 悪意のあるJavaScriptが注入されている

このスクリプトには、Stripe SDKの難読化されたHTMLコードが含まれており、顧客が購入を完了しようとすると、偽のStripe決済ページが読み込まれました。
この偽のStripeページは、特にESAの公式ウェブストアから提供されたものであることを見れば、不審には見えなかったことは注目に値する。

Fake Stripe payment page shown on ESA's web store
ESAのウェブストアが偽のStripe決済ページをロード
ソースは こちら:

ウェブアプリケーションセキュリティ企業のSource Defense Researchは、Sansecの調査結果を確認し、ESAの公式ウェブストアに偽のStripe決済ページがロードされていることを捉えた

昨日、ESAに侵害の詳細を問い合わせた。本日回答を得る前に、ウェブショップが偽のStripe決済ページを提供していないことに気づいたが、悪意のあるスクリプトはサイトのソースコードにまだ残っていた。

その後の連絡でESAは、このウェブショップはESAのインフラ上でホストされておらず、ESAはデータを所有していないため、そのデータを管理していないと述べた。

このことは、ESAのドメイン(esa.int)とウェブストアの完全な詳細を示す簡単なwhois検索で確認することができる。