Nowości w branży bezpieczeństwa

Strona British Airways znów zhakowana. Wykradzione dane dziesiątek tysięcy klientów

Avast Security News Team, 5 listopada 2018

185 000 danych, między innymi: szczegóły transakcji, numery rezerwacji, nazwiska i adresy oraz dane kart płatniczych zostały wykradzione.

Cybeprzestępcy z grupy Magecart są na fali. W ostatnich ataku grupa hakerska ukradła poufne informacje o prawie 185,000 transakcjach z systemu rezerwacji linii lotniczych British Airways. Jest to drugi atak tej grupy wymierzony w linię lotniczą.

Atak hakerski został odkryty przez British Airwais podczas badania wcześniejszego incydentu, dotyczącego kradzieży danych należących do 380 000 klientów: największego tego rodzaju ataku hakerskiego w historii Wielkiej Brytanii. Śledczy byli przekonani, że stała z nim grupa przestępcza Magecart, ponieważ wykorzystali ten sam "skrypt", użyty przy innych atakach, w tym niedawny napad na Ticketmastera.

IAG, spółka, która jest największym udziałowcem linii lotniczych British Airways ujawniła szczegóły o włamaniu do systemu, w ogłoszeniu giełdowym. Wyciekły dane  dotyczące 77 000 transakcji, w tym adresy, identyfikatory e-mail i dane dotyczące płatności, a także dodatkowo 108 000 kodów CVV (Card Verification Value), czyli kodu weryfikującego płatności wykonane kartami kredytowymi lub debetowymi. Nie naruszono danych dotyczących podróży ani paszportu.

Jaka była przyczyna?

British Airways już  od jakiegoś czasu walczy ze złą reputacją. W związku z cięciami kosztów, wielu specjalistów z branży uznało to za najbardziej prawdopodobną przyczynę tak wielkiego sukcesu hakerów. Zaledwie kilka tygodni przed pierwszym atakiem British Airways był w trakcie outsourcingu funkcji zabezpieczających, przenosząc centrum cyberbezpieczeństwa do IBM.

Eksperci ds. Bezpieczeństwa uważają, że w trakcie transferu, doszło do cięć w budżecie, połączonych z brakiem doświadczenia personelu, który nieodpowiednio zadbał o przekazanie infrastruktury.

Inne powody to nie testowanie aktualizacji przed ich opublikowaniem oraz nie łatanie usterek bezpieczeństwa na bieżąco. Bez względu na to, jakie były prawdziwe przyczyny, British Airways wyraźnie borykało się z zapewnieniem bezpieczeństwa swoich cyfrowych zasobów, w przeciwnym razie nie potrzebowaliby interwencji stron trzecich.

Hakerzy używali wysoce spersonalizowanego kodu

Podczas gdy większość wcześniejszych prób ataków Magecart wykorzystywała ten sam kod giełdowy, ich akcja hakerska na British Airways była bardzo dobrze wycelowana. Jest to jeden z powodów, dla których ataki te pozostały niezauważone przez tak długi czas.

"Nawet jeśli z zewnątrz może się wydawać, że atak pozostał niezauważalny przez długi czas, musimy wziąć pod uwagę, że mówimy o kilku linijkach kodu umieszczonych na stronie internetowej. Wydaje się, że mamy do czynienia, z dobrze spreparowanym, ukierunkowanym atakiem. URL, z którym się łączył, wyglądał tak, jakby był powiązany z British Airways, co utrudnia wykrycie, skanowanie kodu, albo sprawdzanie ruchu sieciowego" wyjaśnia Avast specjalista d.s. bezpieczeństwa, Luis Corrons

Jest również prawdopodobne, że napastnicy uzyskali dostęp do instalacji szkodliwego skryptu po ataku typu phishing, który celował w osoby zatrudnione w liniach lotniczych.

Eksperci ds. bezpieczeństwa znaleźli fragment kodu na stronie reklamacji bagażu British Airways, gdzie klienci są zobowiązani podać swoje imię i nazwisko, adres, e-mail i dane finansowe. Następnie złośliwy kod wysyła te informacje do "baways.com". Na pierwszy rzut oka adres URL wydaje się należeć do British Airways. Jednak po bliższym przyjrzeniu się informatycy dowiedzieli się, że URL był hostowany w Rumunii i został wydany on-line 15 sierpnia, zaledwie na tydzień przed pierwszym atakiem. Kod działa zarówno w wersji standardowej, jak i mobilnej.

Mimo to, nadal pozostaje tajemnicą, jak Magecart zdołał wprowadzić kod na stronę British Airways. Haker musiałby mieć dostęp do serwerów BA, zanim zdołał umieścić kod na webie.

Eksperci ostrzegają, że prawdopodobne oznacza to nasilenie ataków na duże firmy.

Cyberprzestępcy, tacy jak z grupy Magecart, wynajdują coraz lepsze sposoby na przechytrzenie funkcji zabezpieczających, a firmy muszą zadbać o to, aby gromadzone przez nie informacje były bezpieczne na wszystkich poziomach. Banki mogą również dezaktywować naruszone karty lub dane bankowe, a niektóre z nich na przykład Monzo, wystawił klientom nowe karty, natychmiast po ujawnieniu pierwszego ataku na British Airways. Trwają dalsze dochodzenia w tej kwestii, ale jeśli w ciągu ostatnich miesięcy bookowałeś bilet lotniczy w serwisie British Airways, sprawdź dokładnie wszystkie transakcje finansowe, do których doszło później na twojej karcie płatniczej. Jeśli znajdziesz coś podejrzanego, zgłoś to natychmiast do swojego banku lub dostawcy karty kredytowej.