Ang karamihan ng mga kumpanya ay obsessed sa phishing emails, firewalls, at endpoint protection ngunit nangangailangan ng isang mas silent, sama-sama na malusog na paghahatid. Alam mo ba ang mga kumpanya kung paano ang kanilang mga web application ay gumagana sa browser ng kanilang mga gumagamit? Ang mga outdated third-party scripts ay hindi lamang isang kabuuan sa IT hygiene. Siya ay isang open invitation sa data theft, scam, at regulatory fallout.
Kapag ang isang lupa na domain ay naging isang attack vector
Sa infamous British Airways breach, ang mga tagumpay ay nag-register ng isang lookalike domain (baways dot com) at nag-eksploit ng isang third-party script sa airline's legitimate site upang i-siphon off customer credit card data. Para sa 16 araw, ang tagumpay ay silent na redirected personal na impormasyon mula saMga pahinang tumuturo sa britishairways.com(real site) sa mga false site. Sa oras na ang lahat ay nakikita, hanggang sa isang halos isang milyong mga customer ay naka-compromised. Ang airline ay nakikipag-ugnayan ng mga record-breaking fine at reputational damages.
Ngunit mas mahirap: ang aming kumpanya ay maaaring nakuhasa pamamagitan ng baways.comat malapit na ding maging isang trahedya, malapit na ding maging isang trahedyasa pamamagitan ng baways.comay naka-host sa Romania sa pamamagitan ng isang discount Lithuanian provider, hindi sa UK) ang pag-atake ay maaaring ayusin.
Ito ay hindi isang ancient na kasaysayan. Ang parehong pangunahing vector ng pag-atake ay pa rin magagamit para sa mga cybercriminals. Maraming mga organisasyon lamang ay hindi alam kung ano ang mga domain na sila ay nag-expire, o kung ano ang mga domain na ito ay pa rin na-connected sa.
Ang mga negosyo ay hindi silent
Isang ilang buwan ang nakalipas, ang Belgian cybersecurity researcher Inti De Ceukelaire ay nagtatrabaho ng isang mahirap eksperimento. Siya ay bumili ng higit sa 100 na nakalipas na mga domain na isang beses ay nasa mga ospital, court, at pulisya agencies. Sa loob ng ilang araw, siya ay may access sa 848 email inbox. Password reset links flows in para sa lahat mula sa Google Drive sa Dropbox sa OneDrive.
Sa karamihan, ang mga dormant inbox ay nagsimula na makakuha ng mga bagong mensahe na may mga personal na data ng kalusugan ng mga tao, court records, at internal police communications. taon pagkatapos ng mga domain na ito ay inoperated, ang mga domain na ito ay patuloy na naka-wire sa mga kritikal na mga sistema at ibahagi ng sensitibo na impormasyon para sa mas mababa sa € 10 bawat domain.
Ito ay kung ano ang nangyari kapag ang mga organisasyon ay hindi na ganap na i-cort old connections. Expired ay hindi nangangahulugan na ibinigay, ito lamang ay nangangahulugan na vulnerable.
Ang pag-confusion ng domain ay sumusuporta sa brand trust at seguridad
Kahit na ang mga aktibo na mga domain ay maaaring lumikha ng mga problema sa seguridad kapag malusog na ginagamit. Pumunta ang UK's Royal Mail, na nagpadala ng mga gumagamit ng pakete tracking mga link gamit ang domainsa loob.mePagkatapos ng randomized strings. Sa scam texts imiting ang eksaktong format na ito, ang mga gumagamit ay hindi maaaring malaman kung ano ang legitimate. Sa ilang mga kaso, ang mga personal na suporta ng Royal Mail ay malalaman ang kanilang sarili na mga link bilang scam. Ang uri ng confusion chips away sa customer trust at gumagawa ng phishing mas madaling.
Kung paano mawalan ng timbang sa pamamagitan ng pag-aaral (sa pamamagitan ng hubspot.comna angsa pamamagitan ng hs-scripts.comna angMga pahinang tumuturona angsa pamamagitan ng hubapi.com, at iba pang mga) para sa iba't ibang mga serbisyo. Kung ang isang negosyo ay nagbibigay ng script upang mag-connect sa isang domain tulad ng hs-hubapi dot net (hindi isang tunay na kilala na domain, ngunit plausible enough), ito ay maaaring inadvertently i-execute malicious code. Inversely, ang isang legitimate script ay maaaring marking bilang risky kung ang security team ay hindi sigurado kung ano ang mga domain ay sanctioned. When domain management lacks clarity, both the security team and the end users are left guessing.
Ang Polyfill breach ay nagpapakita kung ano ang nangyayari kapag bumalik ang lupain na code
Ang pinakabagong incidente sa Polyfill ay nagdadala ng problema na ito sa bahay. Ang mga tagumpay ay bumili ng domain ng Polyfill dot io, na nag-link sa isang open source library na ginagamit sa higit sa libu-libong mga website. Ang proyekto ay umalis mula sa pag-unlad, ngunit ang script ay patuloy na inihayag sa pamamagitan ng higit sa 380,000 hosts, kabilang ang Warner Bros at Mercedes-Benz. Kapag pinagsasama, ang Polyfill dot io ay nagsimula sa pag-injection ng malicious na code sa bawat pahina na tinatawag na ito. Ang pag-uugali ay hindi nagsisimula mula sa isang flashy bagong exploit. Ito ay dumating mula sa isang pinamamahalaang link na binubuo sa isang script tag.
Ano ang mga organisasyon na dapat gawin ngayon
Ang mga risk ay real, aktibo, at lumaki; ang mga regulator ay makikita. PCI DSS 4.0, halimbawa, ngayon ay nangangailangan (sa Marso 2025) ang lahat ng mga organisasyon na nagtatrabaho ng mga data ng pagbabayad upang i-implementate browser script monitoring.
Upang makabalik sa parehong mga tagumpay at mga auditors, ang mga organisasyon ay kailangang i-reflect kung paano sila pag-manage ng domain at scripts risk. Ang lahat ay nagsimula sa pag-iisip ng pag-iisip ng lahat ng mga domain na may kaugnayan sa internal systems, user accounts, o naka-hosted data (halimbawa lang pagkatapos ng isang rebrand o negosyo shift). Ito ay din nangangahulugan na proactively pagkuha ng lookalike na mga domain upang maiwasan ang mga impersonation at tip-squatting attacks bago sila ay maaaring magsimula. Karamihan ng mga kumpanya ay dapat i-set up browser-based supply chain security strategies na maaaring monitor, validate, at i-block suspicious third-party scripts sa real-time habang
Ang modernong browser ay isa sa mga pinaka-targeted surface sa cybersecurity. Sa maraming depende sa ilang mga invisible na linya ng JavaScript o isang unforgotten domain, ang mga team ng seguridad ay hindi makakakuha ng upang makita.
