穷的只剩钱的英国巴克莱银行竟然把公益项目互联网档案馆当CDN使用
薅羊毛这种事儿在普通用户群里倒是挺普遍的现象,比如有人把代码托管网站 GitHub 当网盘存储不重要的内容。
虽然 GitHub 被微软收购后家大业大不怕大家薅羊毛,不过毕竟人提供免费代码托管所以不应该当网盘进行滥用。
好在这种滥用的薅羊毛情况只在极少数用户里存在,但是你能想到穷的只剩钱的英国巴克莱银行也喜欢薅羊毛吗?
巴克莱银行是英国第二大银行也是英国最古老的银行之一 , 这家银行可以追溯到1690年迄今已经有300多年历史。
互联网档案馆是个公益项目用来保存各种公开的网页,防止这些网页因为服务器或域名到期后从互联网彻底消失。
互联网档案馆工作原理是定期抓爬某些网页并将其内容保存到自己的服务器上,这样就不怕数据在未来发生丢失。
也正是如此网页上的某些数据例如脚本这类的也会被互联网档案馆托管,托管后理论上说资源是可以公开调用的。
在推特上树莓派产品总监@Phil发现英国巴克莱银行的官方网站竟然调用被互联网档案馆托管的 JavaScript脚本。
实际上这个脚本还经过套娃:脚本是巴克莱银行网站的,被互联网档案馆抓取,巴克莱银行调用互联网档案馆的。
巴克莱银行调用互联网档案馆托管的资源是什么目的没人知道,难道只是巴克莱银行单纯想薅公益项目的羊毛吗?
理论上说巴克莱银行调用托管的资源是不消耗自己的服务器流量的,也就是可以节省服务器成本降低费用开支等。
但调用的脚本本身非常小而且调用的也只有一个,所以能节省的资源其实非常非常少,巴克莱银行当然不差钱的。
所以为什么把公益项目当做CDN进行薅羊毛暂时没人知道, 巴克莱银行到目前也没有发布官方声明解释这个问题。
前文我们提到朝鲜黑客组织拉撒路集团在部分电商网站安装恶意脚本劫持电商网站窃取用户的付款信用卡数据等。
对于拉撒路集团来说如何安装恶意脚本是个问题,因为得想法黑进电商网站的服务器不然没办法篡改网页脚本的。
巴克莱银行倒是看得开直接调用互联网档案馆的资源,如果互联网档案馆愿意的话可以分分钟将其替换恶意脚本。
替换恶意脚本后可以用来劫持巴克莱银行用户数据,或者将用户直接导入到钓鱼网站甚至向用户投毒等均可做到。
退一万步说互联网档案馆不进行劫持但被黑客攻击,黑客拿下互联网档案馆后同样可以篡改脚本攻击巴克莱银行。
所以这种做法危害程度极高,很难想象穷的只剩钱的巴克莱银行竟然做这种事儿,当然我们更好奇这么做的原因。