La pasada semana la aerolínea británica British Airways admitió el robo de datos de unas 380.000 transacciones en su página web realizadas entre el 21 de agosto y el 5 de septiembre de este año. Nombres, direcciones de correo electrónico, cuentas bancarias y otros datos confidenciales se vieron comprometidos. Ahora, los investigadores de la firma de detección de amenazas RiskIQ han arrojado nueva luz sobre cómo los atacantes llevaron a cabo el atraco.
Laut dieser Sicherheitsfirma haben Cyberkriminelle ein Skript auf der Website der Fluggesellschaft platziert, um die Daten zu erhalten. Diese als Supply-Chain-Angriff bezeichnete Methode ist ein zunehmend häufiges Problem für Seiten, die Code von Drittanbietern enthalten. Um Ihnen eine Vorstellung zu geben, können diese Dritten Code bereitstellen, um Werbung zu schalten, die Anmeldung zuzulassen oder die Autorisierung der Zahlung zu ermöglichen. Dies ist nicht der einzige Fall, den wir in den letzten Monaten ähnlich gekannt haben . Das Ticketmaster-Ticketunternehmen erlitt einen solchen Angriff, von dem rund 40.000 Benutzer in Großbritannien betroffen waren.
RiskIQ hat außerdem kommentiert, dass das Skript mit der Informationsseite zur Gepäckausgabe von British Airways verknüpft war. Es wurde zuletzt geändert, bevor der Verstoß im Dezember 2012 erfolgte. Die Ermittler stellten schnell fest, dass Angreifer die Komponente so überarbeiteten, dass sie Code (nur 22 Zeilen) enthielt, der häufig bei geheimen Manipulationen verwendet wird. Der Schadcode nahm die Daten, die Kunden in ein Zahlungsformular eingegeben hatten, und schickte sie an einen Server, der von einem Angreifer kontrolliert wurde, wenn ein Benutzer auf eine Senden-Schaltfläche klickte oder darauf tippte. Die Angreifer haben sogar dafür bezahlt, ein Sicherheitszertifikat für ihren Server einzurichten. Dieser Berechtigungsnachweis bestätigt, dass auf einem Server die Webverschlüsselung aktiviert ist, um Daten während der Übertragung zu schützen.
Zu all dem sollte beachtet werden, dass der Angriff auch mobile Benutzer betraf. Das Sicherheitsunternehmen fand auch einen Teil der Android-Anwendung von British Airways, die aus demselben Code wie der gefährdete Teil der Website der Fluggesellschaft erstellt wurde. In diesem Fall wirkte sich die schädliche JavaScript-Komponente, die die Angreifer in die Hauptwebsite injiziert hatten, auch auf die mobile App aus. Die Angreifer haben das Skript unter diesem Gesichtspunkt entworfen und die Eingaben auf dem Touchscreen berücksichtigt.
Dies sind keine guten Zeiten für British Airways. Im Mai und Juli musste das Unternehmen einige Flüge aufgrund von Stromausfällen stornieren und verschieben, was zu Beschwerden seiner Kunden führte. Jetzt 38.000 festgeschriebene Transaktionen. Die britische National Crime Agency untersucht dieses Ereignis bereits. Wenn Sie feststellen, dass British Airways die Daten seiner Benutzer fahrlässig geschützt hat, können Sie mit einer Geldstrafe von bis zu 4% Ihres weltweiten Gewinns belegt werden.