The Hack British Airways, pri ktorom bolo ukradnutých viac ako 380 000 detailov zákazníkov Zdá sa, že to spôsobilo iba 22 riadkov škodlivého JavaScriptu.
Pozri súvisiace
Odhalenie pochádza od firmy zaoberajúcej sa kybernetickou bezpečnosťou RiskIQ ktorý tvrdí, že našiel kód zodpovedný za spôsobenie porušenia. Informácie ukradnuté z BA zahŕňali osobné a platobné údaje z webovej stránky BA a mobilnej aplikácie. Problém mohol byť ešte väčší, ale našťastie sa týkal iba zákazníkov, ktorí používali stránku a aplikáciu počas dvoch týždňov koncom augusta.
Predpokladá sa, že škodlivý JavaScript napísala a vložila podvodná skupina známa ako Magecart. Skupina sa už predtým podieľala na porušení siete Ticketmaster a použila na to podobné prostriedky.
ČÍTAJTE ĎALEJ: Váš lístok na uzamknutie obrazovky telefónu môže byť ukradnutý cez jeho reproduktory
„Magecart vkladá skripty určené na krádež citlivých údajov, ktoré spotrebitelia zadávajú do online platobných formulárov na webových stránkach elektronického obchodu priamo alebo prostredníctvom kompromitovaných dodávateľov tretích strán používaných týmito stránkami,“ povedal Yonathan Klijnsma, výskumník hrozieb v RiskIQ.
„Nedávno pracovníci Magecart umiestnili jeden z týchto digitálnych skimmerov na webové stránky Ticketmaster prostredníctvom kompromitácia funkčnosti tretej strany, ktorá má za následok vážne porušenie zákazu Ticketmaster údajov. Na základe nedávnych dôkazov sa Magecart teraz zameral na British Airways, najväčšiu leteckú spoločnosť v Spojenom kráľovstve.
Pri oboch porušeniach bola použitá technika nazývaná skimming. Skimmery, ktoré zločinci tradične používajú na získavanie údajov o kreditných kartách, majú zvyčajne formu zariadenia skryté v čítačkách kreditných kariet na bankomatoch, čerpacích staniciach a iných bežných platbách kartou stroje. Tieto skimmery potom ukradnú a uložia platobné údaje, aby ich mohol zločinec použiť alebo predať tretej strane.
ČÍTAJTE ĎALEJ: Za útok WannaCry je zodpovedný severokórejský hacker
Pre porušenie BA však Magecart upravil skimmer a vložil ho na webovú stránku leteckej spoločnosti, ktorá beží na JavaScripte. RiskIQ zverejnil obrázok vyčistenej verzie skriptu, ktorý označil za veľmi „jednoduchý, ale účinný“.
Podľa RiskIQ sú „mouseup“ a „touchend“ udalosti, keď niekto pustí myš po kliknutím na tlačidlo alebo keď niekto používajúci zariadenie s dotykovou obrazovkou pustí obrazovku po klepnutí na a tlačidlo. V podstate to znamená, že keď používateľ stlačí tlačidlo na odoslanie platby na napadnutej stránke BA, informácie z platobného formulára sa extrahujú a odošlú na server útočníka.
Tento konkrétny typ skimmeru je veľmi prispôsobený tomu, ako je nastavená platobná stránka BA, podľa RiskIQ, ktorý naznačuje, že hackeri starostlivo zvážili, ako zacieliť na leteckú spoločnosť namiesto slepého vstreknutia bežného Magecartu skimmer.
S Ticketmasterom a BA pod pásom je veľká šanca, že ďalšia veľká stránka by mohla byť napadnutá.
