En række større datalæk er inden for den seneste tid sket ved at kompromittere scripts, som er indlejret på websteder. Der er tale om scripts, som leveres af tredjepart.

En række større datalæk inden for den seneste tid er sket ved at kompromittere scripts, som er indlejret på websteder. Der er tale om scripts, som leveres af tredjepart, og ved at kompromittere disse scripts, kan man angribe de websteder, som benytter de pågældende scripts.

Ifølge en rapport fra sikkerhedsfirmaet RisqIQ har en gruppe, som flere sikkerhedsfirmaer betegner som ”Magecart”, stået bag flere tilfælde af kompromitterede scripts. Det skulle omfatte angreb, der har kompromitteret kundedata hos blandt andet British Airways og Ticketmaster.

Danske FE gør opmærksom på, at man bør medtage denne trussel i sin risikomodel for webapplikationer. Det er almindelig praksis at benytte scripts, som man ikke selv administrerer, men da disse scripts indgår i webapplikationen, så skal man være bevidst om de sikkerhedsproblemer, det kan medføre.

Organisationen OWASP har samlet en oversigt over truslen fra kompromitterede tredjeparts-scripts samt en række råd til at håndtere risikoen.

Det er muligt at benytte teknikken Subresource Integrity (SRI) til at sikre, at et script ikke er modificeret i forhold til en valideret version.

Overordnet bør man sikre, at der er en proces for at håndtere sikkerhedsproblemer i hele forsyningskæden. Henter man således et script fra tredjepart, bør man blandt andet sikre, at man modtager notifikationer om sikkerhedsproblemer og anvender versioner, der er patchet. Generelt bør man også løbende sørge for at fjerne tredjepartskomponenter, som ikke længere anvendes.