歐洲航天局（ESA）的官方網(wǎng)絡(luò)商店遭遇黑客入侵，加載用于生成虛假Stripe支付頁面的JavaScript代碼。

歐洲航天局每年的預(yù)算超過100億歐元，其主要任務(wù)是通過培訓(xùn)宇航員以及建造火箭和衛(wèi)星來探索宇宙奧秘，進(jìn)而拓展太空活動的邊界。目前，獲準(zhǔn)銷售的ESA商品網(wǎng)絡(luò)商店已無法使用，頁面顯示的信息是“暫時失去軌道”。

就在昨天，這段惡意腳本出現(xiàn)在歐洲航天局的網(wǎng)站上，并開始收集客戶信息，其中包含在購買流程最后階段提供的支付卡數(shù)據(jù)。電子商務(wù)安全公司Sansec于昨日察覺到這段惡意腳本，并發(fā)出警告稱，這家商店看起來是與ESA系統(tǒng)集成的，這可能會給該機(jī)構(gòu)的員工帶來風(fēng)險。

Sansec警告ESA商店已被入侵

Sansec發(fā)現(xiàn)，用于提取信息的域名與銷售ESA商品的合法商店所使用的名稱相同，只是頂級域（TLD）有所不同。歐洲機(jī)構(gòu)的官方商店使用的是.com的頂級域名“esaspaceshop”，而黑客使用相同名稱但不同頂級域（TLD）的.pics（即esaspaceshop[.]pics），這一點在ESA商店的源代碼中能夠看到：

ESA網(wǎng)絡(luò)商店中注入的惡意JavaScript

該腳本包含來自Stripe SDK的混淆HTML代碼，當(dāng)客戶試圖完成購買操作時，就會加載一個虛假的Stripe支付頁面。值得注意的是，這個虛假的Stripe頁面看上去并不可疑，特別是當(dāng)該頁面由ESA的官方網(wǎng)絡(luò)商店提供。

ESA的網(wǎng)絡(luò)商店加載虛假的Stripe支付頁面

網(wǎng)絡(luò)應(yīng)用程序安全公司Source Defense Research證實了Sansec的發(fā)現(xiàn)，并捕獲到了在ESA官方網(wǎng)絡(luò)商店中加載的虛假Stripe支付頁面。目前ESA官網(wǎng)網(wǎng)絡(luò)商店已經(jīng)解決該問題，不再出現(xiàn)虛假的Stripe支付頁面，但在網(wǎng)站的源代碼中仍然能夠看到惡意腳本。

ESA表示，這家商店并非托管在其基礎(chǔ)設(shè)施上，也不管理其上的數(shù)據(jù)，所以不用擔(dān)心會影響ESA相關(guān)工作。通過簡單的WHOIS查詢可確認(rèn)，這家商店的域名注冊信息與ESA的官方域名（esa.int）分離，且注冊人的聯(lián)系方式被隱私保護(hù)掩蓋。

ESA在線商店的攻擊事件是一個典型案例，反映出品牌授權(quán)模式在網(wǎng)絡(luò)安全管理中的潛在風(fēng)險。特別是當(dāng)授權(quán)的外部平臺未能執(zhí)行嚴(yán)格的安全審查時，品牌自身的聲譽和用戶的安全都會受到威脅。

參考來源：https://www.bleepingcomputer.com/news/security/european-space-agencys-official-store-hacked-to-steal-payment-cards/