האתר של דן נפרץ והושתל בו קוד עוין!

מי שנכנס לאתר של דן בשעות האחרונות באמצעות דפדפן שתומך ב-SafeBrowsing בוודאי שם לב להודעה הבאה: מה גרם לאתר של דן (dan.co.il) להכנס לרשימות השחורות של SafeBrowing? לפי פרטי ההודעה אפשר לראות כי הוא נחשד בכך שבעת הכניסה אליו הוא גורם לדפדפן לטעון רכיבי JS מדומיינים המוכרים כדומיינים “זדוניים”.

ובאמת, בעת הכניסה לאתר ניתן לזהות את הטעינה של הקוד מהדומיין הזדוני:

למה לעזאזל שהמערכות של דן יטענו קוד מהדומיין הזה? שאלה יפה! מסקירה מהירה של האתר ניתן לראות כי מידע מסוים (רשימת קווי האוטובוסים לבניית מסלול הנסיעה) הוחלף בקישורים הגורמים לטעינת הקוד, באתר עצמו זה נראה כך:

ובקוד המקור, ניתן לראות:

הקוד הנ”ל, במספר מקרים יגרום לביצוע רענן ומעבר לאתר אחר שיגרום להקפצה של החלון הבא:

החלון עצמו מדמה סריקה של המחשב ואף מזהיר מפני המצאות של וירוסים ותולעים - כל לחיצה על החלון תגרום לכך שהמשתמש יתבקש להוריד תוכנה ולהריץ אותה, התוכנה עצמה אמורה להסיר את הוירוסים שנמצאו, אך כמובן שמדובר בוירוס עצמו… בשום אופן לא להריץ את התוכנה!

דן עודכנו על האירוע, בתקווה שהם יסדרו אותו בהקדם, נכון לעכשיו, מומלץ שלא להכנס לאתר כלל.

בגיליון הקרוב (ככל הנראה), יפורסם דו”ח חקירה מלא של האירוע מקצה לקצה.

תודה רבה לשקד אילן על זיהוי האירוע, דיווחו לדן, דיווחו למערכת הבלוג וההשתתפות בחקירת האירוע!

עדכון (11/10/2012, 20:03): נכון לעכשיו נראה כי דן הסירו את הקוד המפגע, אולם, לא ידוע האם הם הבינו כיצד הקוד הוכנס לשם מלכתחילה, נכון לכתיבת שורות אלה נראה כי אין סכנה בכניסה לאתר, אך הייתי ממליץ להמשיך לחשוד באתר למשך הזמן הקרוב.