Il n'a fallu que 22 lignes de code aux pirates pour voler les données clients de British Airways

La semaine dernière, British Airways a reconnu que son site Web avait été piraté, ce qui a abouti à 380 000 clients «compromission des données. Il semblerait que ce ne soit pas trop difficile non plus: Cybersecurity firm RiskIQ a découvert qu'il suffisait aux pirates de ne disposer que de 22 lignes de code pour accéder aux données.

RiskIQ a supposé qu'un groupe appelé Magecart est derrière cette attaque; Il a été responsable de le piratage TicketMaster UK plus tôt cette année, qui a affecté les données de 400 000 clients. Magecart a traditionnellement volé des données en injectant un script malveillant dans les formulaires de paiement.

“ retiré de leur activité criminelle choisie. Au lieu de cela, ils ont continuellement affiné leurs tactiques et leurs cibles pour maximiser le retour sur leurs efforts », a déclaré RiskIQ.

Les hackers ont modifié une version Modernizr javascript 2.6.2 (une bibliothèque utilisée pour détecter certaines actions de l'utilisateur, comme les clics et les clics) – sur le site de BA pour voler les données entre le 21 août et le 5 septembre. RiskIQ a constaté que le script avait été modifié le 21 août juste avant le début de la violation de données.

22 lignes ont été modifiées – envoyé les informations aux serveurs des pirates dès que quelqu'un a cliqué sur le bouton «Soumettre» du formulaire de paiement. Le script a pu capturer les noms, adresses, numéros de téléphone et détails des clients de BA par l’intermédiaire de son site et de son application mobile.

RiskIQ a conseillé aux clients concernés de contacter leur banque pour obtenir une nouvelle carte.

Hier soir, nous avons contacté 1 300 clients affectés par la violation de données de British Airways et leur avons ordonné de nouvelles cartes par mesure de précaution pour les protéger contre la fraude. https: / /t.co/jwmBUagJIv

— Monzo (@monzo) 7 septembre 2018

Organismes chargés de l'application de la loi au Royaume-Uni, y compris la National Crime Agency et la Cyber ​​nationale Security Center, étudient toujours la violation.

Parallèlement, un cabinet d'avocats appelé SPG Law envisage de poursuivre BA pour £ 500 millions. Il a même créé un site Web dédié, afin que les clients concernés puissent faire une réclamation.

Comment @British_Airways at-il pu empêcher les attaques? Il est fort probable qu'un bon app Web-app 0day ne soit pas arrivé sur la boîte, le problème est qu'ils n'observaient pas les modifications de fichiers sur les serveurs de production. Cela aurait dû et aurait pu être détecté.

– Hacker Fantastic (@hackerfantastic) 11 septembre 2018

Ces découvertes mettent en évidence le problème des pratiques de sécurité laxistes parmi les entreprises traitant de grandes quantités de données utilisateur. L’équipe informatique de BA aurait dû repérer la modification apportée à son code sur son serveur de production, car il s’agit d’une partie essentielle de ses systèmes. Il est inquiétant que les pirates aient été en mesure d’arriver à cette tâche sans être détectés et sans avoir à pénétrer dans la base de données de BA pour saisir les coordonnées des clients. Et comme nous l’avons vu dans le passé, son système informatique a été un problème pour les clients . La société doit mettre de l’ordre dans sa maison si elle veut vraiment garder ses passagers en sécurité.

Lire la suite:

Plex est en train de tuer son service de diffusion en continu Cloud en novembre