Paano Nalagpak ng mga Hacker ng Mga Proteksiyon ng Data ng British Airways


Sa Biyernes, British Inihayag ng Airways ang isang paglabag sa data na nakakaapekto sa impormasyon ng customer mula sa halos 380,000 na transaksyon sa booking na ginawa sa pagitan ng Agosto 21 at Setyembre 5 ng taong ito. Sinabi ng kumpanya na ang lahat ng mga pangalan, address, email address, at sensitibong mga detalye ng pagbabayad card ay nakompromiso. Ngayon, ang mga mananaliksik mula sa pagbabanta ng pagbabanta ng kumpanya na RiskIQ ay nagbigay ng bagong liwanag sa kung paano inalis ng mga attacker ang heist.

Inilathala ng RiskIQ ang mga detalye na sinusubaybayan ang diskarte ng mga British Airways hackers noong Martes, na nag-uugnay din sa panghihimasok sa isang kriminal na gang ng pag-hack na naging aktibo mula pa noong 2015. Ang grupo, na tinatawag ng RiskIQ na Magecart, ay kilala para sa mga web-based na credit card na paghahanap ng mga website na hindi secure ang mga form sa pagpasok ng data ng pagbabayad, at pag-vacuum ang lahat ng naipadala. Ngunit samantalang ang dating Magecart ay kilala na gamitin ang parehong malawak na naka-target na code upang maglimas ng data mula sa iba't ibang mga third-party na mga processor, natagpuan ng RiskIQ na ang pag-atake sa British Airways ay higit na pinasadya sa partikular na imprastraktura ng kumpanya.

"Sinusubaybayan namin ang mga aktor ng Magecart sa matagal na panahon at isa sa mga pagpapaunlad noong 2017 ay … sinimulan nilang mag-invest ng oras sa mga target upang makahanap ng mga paraan upang labagin ang mga partikular na kompanya ng mataas na profile, tulad ng Ticketmaster," sabi ni RiskIQ threat researcher Yonathan Klijnsma. "Ang pag-atake ng British Airways na nakikita natin bilang isang extension ng kampanyang ito kung saan sila nag-set up ng pinasadyang imprastraktura na mimicking ang biktima site."

Sa kanyang unang pagsisiwalat, sinabi ng British Airways na ang paglabag ay hindi nakakaapekto sa mga numero ng pasaporte o iba pang data sa paglalakbay. Subalit nilinaw ng kumpanya sa ibang pagkakataon na ang nakompromisong data ay kasama ang mga petsa ng expiration ng payment card at mga code ng Pagpapatunay ng Card-ang dagdag na tatlo o apat na digit na mga numero na nagpapatunay ng isang card-kahit na sinabi ng British Airways na hindi ito nag-iimbak ng mga CVV. Sinabi ng British Airways na ang paglabag lamang ang nakakaapekto sa mga customer na nakumpleto ang mga transaksyon sa isang partikular na takdang-panahon-22: 58 BST sa Agosto 21 hanggang 21:45 BST noong Setyembre 5.

Ang mga detalye na ito ay nagsilbi bilang mga pahiwatig, na nangunguna sa mga analyst sa RiskIQ at sa ibang lugar upang maghinala na ang mga British Airways hacker ay malamang na gumamit ng "cross-site scripting" na pag-atake, kung saan ang mga masamang aktor ay nakilala ang isang hindi maganda na secure na pahina ng web page at iniksyon ang kanilang sariling code dito upang baguhin isang pag-uugali ng biktima site. Ang pag-atake ay hindi kinakailangang kasangkot sa pagpasok ng network ng isang organisasyon o mga server, na ipapaliwanag kung paano na-access ng mga hacker ang impormasyon na isinumite sa isang partikular na takdang panahon, at nakompromiso ang data na hindi nag-iimbak ng British Airways.

Si Klijnsma, na pinagsama ang kamakailang paglabag sa Ticketmaster sa Magecart at nakita ang pagkakatulad sa sitwasyon ng British Airways, nagsimula sa pagtingin sa catalog ng RiskIQ ng pampublikong web data; ang kumpanya ay nag-crawl ng higit sa dalawang bilyong pahina bawat araw. Tinukoy niya ang lahat ng mga natatanging mga script sa website ng British Airways, na kung saan ay ma-target sa isang pag-atake sa cross-site scripting, at pagkatapos ay sinusubaybayan ang mga ito sa pamamagitan ng oras hanggang sa siya ay natagpuan ang isang bahagi ng JavaScript na na-modify karapatan sa paligid ng oras sinabi ng atake ang atake .

'Ang pag-atake ng British Airways na nakikita natin bilang isang extension ng kampanyang ito kung saan sila nag-set up ng pinasadyang imprastraktura na nakikilala ang site ng biktima.'

Yonathan Klijnsma, RiskIQ

Ang script ay konektado sa pahina ng impormasyon sa pag-claim ng British Airways baggage; ang huling oras na ito ay nabago bago ang paglabag ay Disyembre 2012. Napansin ni Klijnsma na ang mga sumasalakay ay nagbago ng bahagi na isama ang code-22 linya lamang nito-kadalasang ginagamit sa mga lihim na manipulasyon. Ang nakakahamak na code ay nakakuha ng data na ipinasok ng mga customer sa isang form sa pagbabayad, at ipinadala ito sa isang server na kinokontrol ng pag-atake kapag ang isang gumagamit ay nag-click o nag-tapped sa isang pindutan ng pagsusumite. Ang mga attackers kahit na binayaran upang i-set up ng isang Secure Socket Layer sertipiko para sa kanilang mga server, isang kredensyal na nagpapatunay ng isang server ay naka-enable ang pag-encrypt ng web upang protektahan ang data sa pagbibiyahe. Ang mga pag-atake ng lahat ng mga uri ay lalong ginagamit ang mga sertipiko na ito upang makatulong na lumikha ng isang lehitimidad-kahit na ang isang naka-encrypt na site ay hindi palaging ligtas.

Sinabi rin ng airline sa kanyang pagsisiwalat na naapektuhan ng pag-atake ang mga mobile user nito. Natagpuan ng Klijnsma ang isang bahagi ng British Airways Android app na itinayo ng parehong code bilang nakompromiso na bahagi ng website ng airline. Normal para sa pag-andar ng isang app na nakabatay sa bahagi sa umiiral na web infrastructure, ngunit ang pagsasanay ay maaari ring lumikha ng nakabahaging panganib. Sa kaso ng British Airways Android app, ang malisyosong bahagi ng JavaScript ang mga attackers na injected sa pangunahing site na pindutin ang mobile app pati na rin. Ang mga pag-atake ay tila dinisenyo ang script na ito sa isip sa pamamagitan ng pagtanggap ng mga input ng touchscreen.

Habang ang pag-atake ay hindi detalyado, ito ay epektibo, dahil ito ay ginawa para sa partikular na scripting at data daloy kahinaan ng British Airways site.

Sinabi ng British Airways sa isang pahayag sa WIRED noong Martes, "Dahil ito ay isang kriminal na pagsisiyasat, hindi namin magawang magkomento sa haka-haka."1 Sinabi ng RiskIQ na ibinigay nito ang mga napag-alaman sa National Crime Agency ng UK at National Cyber ​​Security Center, na sinisiyasat ang paglabag sa British Airways. "Kami ay nagtatrabaho kasama ang mga kasosyo upang mas maunawaan ang insidente na ito at kung paano ito apektado ng mga customer," sabi ng tagapagsalita ng NCSC tungkol sa paglabag sa Biyernes.

Sinasabi ng RiskIQ na iniuugnay ang insidente sa Magecart dahil ang skimmer code na iniksiyon sa website ng British Airways ay isang binagong bersyon ng tatak ng character ng grupo. Tinitingnan din ng RiskIQ ang pag-atake bilang ebolusyon ng mga diskarte na ginamit sa kamakailang paglabag sa Ticketmaster, kung saan naka-link ang RiskIQ sa Magecart, bagama't may idinagdag na pagbabago ng direktang pag-target sa site ng biktima sa halip na ikompromiso ang isang third party. At ang ilan sa imprastraktura ng pag-atake, tulad ng hosting ng web server at pangalan ng domain, ay tumuturo rin sa grupo.

Sa ngayon ang British Airways at tagapagpatupad ng batas ay hindi nakapagkomento sa publiko sa pagpapalagay na ito, ngunit sinabi ni Klijnsma na ang iba pang mga takeaway sa ngayon ay ang pagkalat ng mga maliliit na kahinaan ng website na maaaring mabilis na maging malaking exposures.

"Bumababa ito sa pag-alam sa iyong mga asset sa nakaharap sa web," sabi ni Klijnsma. "Huwag mag-overexpose-ilantad lamang kung ano ang kailangan mo. Ang mga kahihinatnan, tulad ng nakikita sa insidente na ito, ay maaaring talagang, talagang masama."

1I-update ang 9/11/18 10:15 ET upang isama ang isang pahayag mula sa British Airways.


Higit pang mga Great WIRED Stories