I forrige uke innrømmet det britiske flyselskapet British Airways tyveri av data fra rundt 380 000 transaksjoner på nettstedet som ble utført mellom 21. august og 5. september i år . Navn, e-postadresser, bankkontoer og annen sensitiv informasjon ble kompromittert. Nå har forskere ved trusseloppdagingsfirmaet RiskIQ kastet nytt lys over hvordan angriperne utførte heisen.
Ifølge dette sikkerhetsselskapet, for å innhente data, plasserte nettkriminelle et skript på flyselskapets nettside. Denne metoden, kjent som et supply chain-angrep, er et stadig mer vanlig problem for sider som inneholder kode fra eksterne leverandører. For å gi deg en ide, kan disse tredjepartene gi kode for å plassere reklame, tillate pålogging eller tillate betalingsautorisasjon. Dette er ikke det eneste tilfellet vi har kjent lignende de siste månedene . Billettselskapet Ticketmaster fikk et slikt angrep som rammet rundt 40.000 brukere i Storbritannia.
RiskIQ kommenterte også at manuset var knyttet til informasjonssiden for British Airways bagasjekrav. Den ble sist endret før bruddet var i desember 2012. Etterforskerne innså raskt at angripere reviderte komponenten for å inkludere kode (bare 22 linjer), som ofte brukes i hemmelige manipulasjoner. Den ondsinnede koden tok dataene som kundene skrev inn i et betalingsskjema og sendte dem til en server som ble kontrollert av en angriper når en bruker klikket eller banket på en sendeknapp. Angriperne betalte til og med for å sette opp et sikkerhetssertifikat for serveren deres, en legitimasjon som bekrefter at en server har nettkryptering aktivert for å beskytte data under transport.
Til alt dette skal det bemerkes at angrepet også berørte mobilbrukere. Sikkerhetsselskapet fant også en del av British Airways Android-applikasjon bygget av samme kode som den kompromitterte delen av flyselskapets nettside. I dette tilfellet påvirket også den ondsinnede JavaScript-komponenten som angriperne injiserte på hovedsiden mobilappen. Angriperne designet skriptet med tanke på dette, og imøtekommet inngangene til berøringsskjermen.
Dette er ikke gode tider for British Airways. I mai og juli måtte selskapet avbryte og forsinke noen flyreiser på grunn av strømbrudd, noe som resulterte i klager fra kundene. Nå har 38 000 forpliktet transaksjoner. UK National Crime Agency undersøker allerede denne hendelsen. Hvis du oppdager at British Airways har forsømt å beskytte brukernes data, kan du bli bøtelagt med opptil 4% av din globale fortjeneste.