Varios informes recientes de empresas del ámbito de la ciberseguridad denuncian el reciente auge de un ciberataque consistente en utilizar Google Analytics (un servicio que recopila información sobre visitas y hábitos de navegación y está presente en millones de sitios web) para robar información de tarjetas de crédito de los clientes de tiendas online.
Kaspersky, Sansec y Perimeter han publicado sendos informes que muestran que una vulnerabilidad de la plataforma de analítica web líder del mercado permite, previa inyección de código malicioso en la web de la tienda online, que los atacantes filtren y recopilen información del proceso de pago, eludiendo las políticas de seguridad de contenido.
Un modelo de seguridad defectuoso
Dichas Políticas de Seguridad de Contenido (CSP) son, según la documentación de Mozilla, "una capa de seguridad adicional que ayuda a detectar y mitigar cierto tipo de ataques, incluyendo Cross-Site Scripting (XSS) y ataques de inyección de datos".
Pero, al estar incluidos los servidores de Google Analytics en la lista blanca de su configuración CSP (de hecho, son el servicio de terceros más comúnmente incluido en estas listas), los atacantes sólo tienen que sustituir una porción de código Javascript de Analytics de las webs para usarlo en su favor.
En Xataka
Contra el mito de que te pueden robar dinero de tarjetas contactless sólo acercándose a ti
Como las reglas CSP no pueden discriminar en función de la ID de Analytics, por lo que basta con …