Исследователь информационной безопасности из Венгрии Габор Сатмари провел анализ пользовательских страниц авторизации, принадлежащих 21 крупному американскому банку. Выяснилось, что страницы 9 банков осуществляют загрузку кода JavaScript с посторонних ресурсов и тем самым подвергают ненужному риску клиентов.
Теоретически страницы входа в банковскую систему должны быть самыми безопасными, но на практике это далеко не так ввиду множества причин. По словам Сатмари, многие банки не устанавливают на таких страницах надежную защиту, что в результате приводит к непреднамеренной загрузке файлов JavaScript с посторонних сайтов.
Сама загрузка JavaScript-файлов не представляет из себя проблему, но некоторые из них могут храниться на серверах других компаний. Если сервер взломан, то хакеры могут внедрять вредоносный код в скрипты и исполнять его на странице авторизации. Благодаря внедрению кода хакеры могут осуществлять запись нажатия клавиш, делать скриншоты, а также похищать учетную информацию и файлы cookie.
Как утверждает эксперт, для сложной системы защиты банка может представлять угрозу простой аналитический скрипт.
Сатмари предлагает в качестве решения проблемы произвести удаление аналитического скрипта со страниц, а также реализацию поддержки стандарта целостности подресурсов (Subresource Integrity), что поспособствует снижению вероятности использования эксплоитов, загрузка которых осуществляется со сторонних сайтов.