I sidste uge indrømmede det britiske flyselskab British Airways tyveri af data fra ca. 380.000 transaktioner på sit websted, der blev gennemført mellem 21. august og 5. september i år . Navne, e-mail-adresser, bankkonti og andre følsomme oplysninger blev kompromitteret. Nu har forskere ved risikodetekteringsfirmaet RiskIQ kastet nyt lys over, hvordan angriberne udførte heist.
Ifølge dette sikkerhedsfirma placerede cyberkriminelle et script på flyselskabets hjemmeside for at indhente dataene. Denne metode, kendt som et supply chain-angreb, er et stadig mere almindeligt problem for sider, der indeholder kode fra tredjepartsleverandører. For at give dig en idé kan disse tredjeparter give kode for at placere reklame, tillade login eller tillade betalingsautorisation. Dette er ikke det eneste tilfælde, som vi har kendt lignende i de seneste måneder . Billetselskabet Ticketmaster led et sådant angreb, der ramte omkring 40.000 brugere i Storbritannien.
Fra RiskIQ har de også kommenteret, at manuskriptet var knyttet til informationssiden om British Airways bagageanmodning. Den blev sidst ændret, før overtrædelsen var i december 2012. Efterforskerne indså hurtigt, at angriberne reviderede komponenten for at inkludere koden (kun 22 linjer), som ofte bruges i hemmelige manipulationer. Den ondsindede kode tog de data, som kunder indtastede i en betalingsformular og sendte den til en angriberstyret server, når en bruger klikkede på eller bankede på en sendeknap. Angriberne betalte endda for at oprette et sikkerhedscertifikat til deres server, en legitimationsoplysninger, der bekræfter, at en server har webkryptering aktiveret for at beskytte data under transit.
Til alt dette skal det bemærkes, at angrebet også berørte mobilbrugere. Sikkerhedsfirmaet fandt også en del af British Airways Android-applikation bygget af samme kode som den kompromitterede del af flyselskabets hjemmeside. I dette tilfælde påvirkede den ondsindede JavaScript-komponent, som angriberne injicerede på hovedsiden, også mobilappen. Angriberne designet scriptet med dette i tankerne og imødekommer input til berøringsskærmen.
Det er ikke gode tider for British Airways. Sidste maj og juli måtte virksomheden aflyse og forsinke nogle flyvninger på grund af strømsvigt, hvilket resulterede i klager fra sine kunder. Nu begik 38.000 transaktioner. UK National Crime Agency undersøger allerede denne begivenhed. Hvis du opdager, at British Airways har forsømt at beskytte brugernes data, kan du blive idømt en bøde på op til 4% af dit globale overskud.