財經雜誌《富比士》訂閱網頁被加入惡意程式碼，盜取信用卡資料

大型企業的網路安全無論有多強，在一些需要外包製作的部分，仍然容易出現漏洞。最近財經雜誌《富比士》（Forbes）就發現訂閱網頁被嵌入惡意程式碼，駭客可用來盜取讀者的信用卡資料。

惡意代碼並非直接從外部加入伺服器，而是透過入侵第三方供應商，讓他們為客戶製作的網頁無聲無息嵌入惡意程式碼。這次出事的是媒體服務供應商 Picreel，他們的網路安全沒有《富比士》強，卻由於《富比士》是他們的客戶，只需要入侵 Picreel 就可以影響客戶網頁。駭客組織 Magecart 就是使用這個方式加入 Obfuscate Javascript 盜取資料，而《富比士》完全沒有出現被入侵的紀錄。

之前 Magecart 已用類似方法攻擊 Newegg、Ticketmaster 和英國航空，大量客戶資料都被盜取。雖然網路安全公司 Bad Packets 發現問題後已向《富比士》回報，但修復之前已有讀者的信用卡資料被盜。大型企業外包網頁製作等工序仍然非常普遍，類似攻擊相信會繼續出現，要避免類似事件出現，唯有多檢査外包製作的東西，避免源頭受感染，讓網路安全形同虛設。