Der Hack von British Airways, bei dem die Daten von über 380.000 Kunden gestohlen wurden, scheint durch nur 22 Zeilen bösartigen JavaScripts verursacht worden zu sein.
Sehen Sie, dass die Datenschutzverletzung von British Airways größer ist als zunächst angenommen, gibt zu, dass die Datenschutzverletzung von BANHS fast 10.000 Patientenakten aufdeckt – sind Sie betroffen?
Die Enthüllung stammt von der Cybersicherheitsfirma RiskIQ, die behauptet, den Code gefunden zu haben, der für die Verletzung verantwortlich ist. Die von BA gestohlenen Informationen umfassten persönliche und Zahlungsinformationen von der BA-Website und der mobilen App. Das Problem hätte noch größer sein können, aber glücklicherweise betraf es nur Kunden, die die Website und die App Ende August über einen Zeitraum von zwei Wochen verwendet hatten.
Es wird angenommen, dass das bösartige JavaScript von einer betrügerischen Gruppe namens Magecart geschrieben und eingefügt wurde. Die Gruppe war zuvor an der Ticketmaster-Verletzung beteiligt und hatte ähnliche Mittel verwendet, um dies zu erreichen.
„Magecart fügt Skripte ein, die entwickelt wurden, um vertrauliche Daten zu stehlen, die Verbraucher in Online-Zahlungsformulare auf E-Commerce-Websites direkt oder über kompromittierte Drittanbieter eingeben, die von diesen Websites verwendet werden“, sagte Yonathan Klijnsma, Bedrohungsforscher bei RiskIQ. „Kürzlich haben Mitarbeiter von Magecart einen dieser digitalen Skimmer auf Ticketmaster-Websites platziert, indem sie die Funktionalität eines Drittanbieters kompromittiert haben, was zu einer hochkarätigen Verletzung von Ticketmaster-Kundendaten führte. Basierend auf jüngsten Erkenntnissen hat Magecart nun British Airways, die größte Fluggesellschaft im Vereinigten Königreich, ins Visier genommen.“ Bei beiden Verstößen wurde eine Technik namens Skimming verwendet. Skimmer werden traditionell von Kriminellen zum Abrufen von Kreditkartendaten verwendet und nehmen normalerweise die Form von Geräten an, die in Kreditkartenlesern an Geldautomaten, Tanksäulen und anderen alltäglichen Kartenzahlungsmaschinen versteckt sind. Diese Skimmer stehlen und speichern dann Zahlungsdaten, damit ein Krimineller sie verwenden oder an Dritte verkaufen kann. WEITER LESEN:Ein nordkoreanischer Hacker ist für den WannaCry-Angriff verantwortlich Für die BA-Verletzung hat Magecart jedoch einen Skimmer angepasst und ihn in die Website der Fluggesellschaft eingebettet, die auf JavaScript läuft. RiskIQ hat ein Bild einer bereinigten Version des Skripts gepostet, das als sehr „einfach, aber effektiv“ bezeichnet wurde. Laut RiskIQ sind „mouseup“ und „touchend“ Ereignisse, wenn jemand die Maus loslässt, nachdem er auf eine Schaltfläche geklickt hat, oder wenn jemand, der ein Touchscreen-Gerät verwendet, den Bildschirm loslässt, nachdem er auf a getippt hat Taste. Im Grunde bedeutet dies, dass, sobald ein Benutzer auf die Schaltfläche zum Einreichen seiner Zahlung auf der kompromittierten Website von BA klickt, die Informationen aus dem Zahlungsformular extrahiert und an den Server des Angreifers gesendet werden. Diese spezielle Art von Skimmer ist laut RiskIQ sehr darauf abgestimmt, wie die Zahlungsseite von BA eingerichtet ist, was darauf hindeutet, dass die Hacker sorgfältig überlegt haben, wie sie die Fluggesellschaft angreifen können, anstatt blind einen normalen Magecart-Skimmer zu injizieren. Mit Ticketmaster und BA stehen die Chancen gut, dass als nächstes eine weitere große Website unter Beschuss geraten könnte.