Az AppsFlyer Web SDK körül kriptolopási botrány robbant

Több ezer cég és felhasználó érintett

Az AppsFlyer SDK-t világszerte mintegy 15 ezer vállalat használja marketinganalitika és kampánymérés céljából, így a támadás több millió végfelhasználó adatait tehette veszélybe. Többek között a Bitcoin, Ethereum, Solana, Ripple és TRON kriptopénztárcák voltak célkeresztben, ami jelentős összegeket veszélyeztetett a mainstream kriptotranzakciókban.

Feltörés és védekezés

A támadást a Profero kutatói azonosították március 9-én, amikor a hivatalos appsflyer.com domainon keresztül jelent meg a fertőzött JavaScript-kód. Ez a kód nemcsak a felhasználók címét cserélte le, hanem a háttérben figyelte az oldalakon zajló tárcacímek bevitelét, és automatikusan átírta azokat, miközben az eredeti adatokat és metaadatokat is elküldte a támadóknak. Vagyis a normál SDK-funkcionalitás mindvégig látszólag zavartalan maradt.

Gyors reagálás és vizsgálat

Az AppsFlyer szóvivője megerősítette, hogy engedély nélküli kódot juttattak be a webes SDK-n keresztül, de a mobil SDK nem volt érintett, és a jelenlegi elemzések szerint ügyféladatokhoz nem fértek hozzá jogosulatlanul. Az incidens kezelését követően értesítették az összes ügyfelet, azóta a webes és a mobil SDK is biztonságos.

Hogyan tovább?

A vizsgálat még nem zárult le, az AppsFlyer külső szakértőkkel dolgozik az ügy feltárásán. Addig is minden érintett szervezetnek javasolt ellenőrizni a websdk.appsflyer.com-ról érkező API-forgalmát, visszatérni a megbízható SDK-verziókhoz, és utánajárni minden gyanús aktivitásnak. Többek között az év elején a ShinyHunters is felhasználta az AppsFlyer SDK-t egy hasonló ellátásilánc-támadáshoz, amikor 10 millió társkeresőoldal-felhasználó adatai kerültek illetéktelen kezekbe.

2025, adrienne, www.bleepingcomputer.com alapján