Можно ли украсть банковские карты клиентов с сайта на MODX?

На Хабре вчера появилась статья про то, как внедрив JS код на страницы сайта можно украсть данные пользователей (в том числе и банковские карты). Я пробежался по сайтам заказчиков, к которым на данный момент имею доступ и на 1 из 5 сайтов был обнаружен код сниффера ReactGet. Естественно, я удалил вредоносный код, о чём сообщил владельцу сайта.
В целях конфиденциальности, я не буду указывать адрес сайта, об этом меня попросил его владелец.
Да, хотя в статье нет ни слова о MODX, это не говорит о том, что он не подвержен заражению. К слову сказать, данный ИМ совсем недавно только обновили с версии 2.3 до 2.7, поэтому угроза заражения была достаточно велика.
Тем не менее, всем разработчикам предлагаю проверить свои сайты на подобную угрозу. Ну и пишите в комментах, удалось ли что-то обнаружить.
Комментарии: 7
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Ввод с клавиатуры походу можно аналогично отследить.
Ну так можно украсть?
Хоть бы слово сказал, где был этот сниффер. Т.е. загружался откуда то или файл был залит на сервер? Это разные вектора атаки.
Вообще, тема безопасности будет подниматься всё чаще. Информатизация общества. Интел опять заявил о дырке в процессоре. На хабре попадалась статья про расширения браузера, сливающие данные. А ещё недобросовестные разработчики — недавно Николай Ланец выкладывал ссылку про очень известное дополнение для Node.js, которое воровало биткоины. Плюс огромная армия младоразработчиков, которые умудряются оставлять дырки даже в статических файлах или устраиваются работать в крутые студии. И в результате видим такое. Да даже Facebook хранил пароли в открытом виде.
Самая главная уязвимость — человек. )
П.С. Оставлю тут, может кому пригодится.