Vorige week gaf de Britse luchtvaartmaatschappij British Airways de diefstal toe van gegevens van zo'n 380.000 transacties op haar website die plaatsvonden tussen 21 augustus en 5 september van dit jaar . Namen, e-mailadressen, bankrekeningen en andere gevoelige informatie zijn gecompromitteerd. Nu hebben onderzoekers van bedreigingsdetectiebedrijf RiskIQ nieuw licht geworpen op hoe de aanvallers de overval hebben uitgevoerd.
Volgens dit beveiligingsbedrijf plaatsten de cybercriminelen om de gegevens te verkrijgen een script op de website van de luchtvaartmaatschappij. Deze methode, ook wel een supply chain-aanval genoemd, wordt een steeds vaker voorkomend probleem voor pagina's die code van externe leveranciers bevatten. Om u een idee te geven, kunnen deze derde partijen code verstrekken om advertenties te plaatsen, in te loggen of betalingsautorisatie toe te staan. Dit is niet het enige geval dat we de afgelopen maanden vergelijkbaar hebben gekend . Ticketmaster-ticketbedrijf kreeg te maken met een dergelijke aanval die ongeveer 40.000 gebruikers in het VK trof.
Vanuit RiskIQ hebben ze ook opgemerkt dat het script was gekoppeld aan de informatiepagina van British Airways over bagageclaim. Het werd voor het laatst gewijzigd voordat de inbreuk in december 2012 plaatsvond. Onderzoekers realiseerden zich al snel dat aanvallers de component hadden herzien om code op te nemen (slechts 22 regels), die vaak wordt gebruikt bij clandestiene manipulaties. De kwaadaardige code nam de gegevens die klanten hadden ingevoerd in een betalingsformulier en stuurde deze naar een server die werd beheerd door een aanvaller wanneer een gebruiker op een verzendknop klikte of tikte. De aanvallers betaalden zelfs om een beveiligingscertificaat voor hun server in te stellen, een referentie die bevestigt dat een server webversleuteling heeft ingeschakeld om gegevens tijdens de overdracht te beschermen.
Bij dit alles moet worden opgemerkt dat de aanval ook mobiele gebruikers trof. Het beveiligingsbedrijf vond ook een deel van de Android-applicatie van British Airways gebouwd met dezelfde code als het gecompromitteerde deel van de website van de luchtvaartmaatschappij. In dit geval had de schadelijke JavaScript-component die de aanvallers op de hoofdsite hadden geïnjecteerd, ook invloed op de mobiele app. De aanvallers hebben het script met dit in gedachten ontworpen en de invoer naar het aanraakscherm aangepast.
Dit zijn geen goede tijden voor British Airways. Afgelopen mei en juli moest het bedrijf enkele vluchten annuleren en vertragen vanwege stroomuitval, wat resulteerde in klachten van zijn klanten. Nu 38.000 vastgelegde transacties. Het Britse National Crime Agency onderzoekt deze gebeurtenis al. Als u ontdekt dat British Airways nalatig is geweest bij het beschermen van de gegevens van haar gebruikers, kunt u een boete krijgen tot 4% van uw wereldwijde winst.