Wie Hacker durch die Datenabwehr von British Airways gerissen werden


Am Freitag, Briten Airways hat eine Datenpanne gemeldet, die sich auf die Kundeninformationen aus etwa 380.000 Buchungstransaktionen zwischen dem 21. August und dem 5. September dieses Jahres ausgewirkt hat. Das Unternehmen sagte, dass Namen, Adressen, E-Mail-Adressen und vertrauliche Zahlungskartendaten alle kompromittiert seien. Nun haben Forscher der Bedrohungserkennungsfirma RiskIQ ein neues Licht auf die Angriffe der Angreifer geworfen.

RiskIQ veröffentlichte Details über die Hacker-Strategie von British Airways am Dienstag und verlinkte den Einbruch mit einer kriminellen Hacker-Bande, die seit 2015 aktiv ist. Die Gruppe, die RiskIQ Magecart nennt, ist bekannt für webbasierte Kreditkarten-Skimming-Finding-Websites Sichern Sie keine Dateneingabeformulare und saugen Sie alles auf, was eingereicht wird. Während Magecart zuvor bereits den gleichen, breit ausgerichteten Code verwendet hat, um Daten von verschiedenen Drittprozessoren zu sammeln, stellte RiskIQ fest, dass der Angriff auf British Airways wesentlich stärker auf die spezifische Infrastruktur des Unternehmens zugeschnitten war.

"Wir verfolgen die Magecart-Akteure seit langem und eine der Entwicklungen im Jahr 2017 war … sie begannen, Zeit in Ziele zu investieren, um Wege zu finden, bestimmte hochkarätige Unternehmen wie Ticketmaster zu durchbrechen", sagt RiskIQ-Bedrohungsforscher Yonathan Klijnsma. "Der Angriff von British Airways ist eine Erweiterung dieser Kampagne, bei der eine spezialisierte Infrastruktur eingerichtet wurde, die die Opfer-Website nachahmt."

British Airways erklärte in seiner ursprünglichen Bekanntgabe, dass sich der Verstoß nicht auf Reisepassnummern oder andere Reisedaten ausgewirkt habe. Später stellte das Unternehmen jedoch klar, dass die kompromittierten Daten das Ablaufdatum der Kreditkarte und den Wert der Kartenprüfnummer enthielten – die zusätzlichen drei- oder vierstelligen Nummern, die eine Karte authentifizieren – obwohl British Airways angegeben hat, dass CVVs nicht gespeichert sind. British Airways stellte weiter fest, dass der Verstoß nur die Kunden betraf, die die Transaktionen während eines bestimmten Zeitraums (22:58 Uhr BST) am 21. August bis 21:45 Uhr BST am 5. September abgeschlossen hatten.

Diese Details dienten als Anhaltspunkte, die Analytiker von RiskIQ und anderswo vermuteten, dass die Hacker von British Airways wahrscheinlich einen Cross-Site-Scripting-Angriff nutzten, bei dem schlechte Akteure eine schlecht gesicherte Webseitenkomponente identifizieren und ihren eigenen Code zur Änderung einschleusen das Verhalten einer Opferstelle. Der Angriff beinhaltet nicht notwendigerweise das Eindringen in das Netzwerk oder die Server einer Organisation, was erklären würde, wie Hacker nur auf Informationen zugreifen, die innerhalb eines bestimmten Zeitraums übermittelt wurden, und kompromittierte Daten, die British Airways selbst nicht speichert.

Klijnsma, der die jüngste Ticketmaster-Verletzung von Magecart festhielt und Ähnlichkeiten mit der Situation von British Airways sah, begann, den Katalog von RiskIQ mit öffentlichen Web-Daten durchzusehen; Das Unternehmen crawlt mehr als zwei Milliarden Seiten pro Tag. Er identifizierte alle einzigartigen Skripte auf der British Airways-Website, die bei einem Cross-Site-Scripting-Angriff angegriffen werden sollten, und verfolgte sie dann über die Zeit, bis er eine JavaScript-Komponente gefunden hatte, die genau zu der Zeit geändert worden war, als die Fluggesellschaft den Angriff begann .

"Der Angriff von British Airways sehen wir als Erweiterung dieser Kampagne, bei der eine spezialisierte Infrastruktur eingerichtet wurde, die die Opferseite nachahmt."

Yonathan Klijnsma, RiskIQ

Das Skript ist mit der Informationsseite für die Gepäckausgabe von British Airways verbunden. Das letzte Mal, dass es vor der Verletzung geändert wurde, war Dezember 2012. Klijnsma bemerkte schnell, dass Angreifer die Komponente überarbeiteten, um Code – nur 22 Zeilen davon – in geheimen Manipulationen zu verwenden. Der bösartige Code nahm Daten, die von Kunden in ein Zahlungsformular eingegeben wurden, an einen von einem Angreifer kontrollierten Server, wenn ein Benutzer auf eine Übergabeschaltfläche klickte oder darauf tippte. Die Angreifer haben sogar dafür bezahlt, ein Secure-Socket-Layer-Zertifikat für ihren Server einzurichten, eine Bestätigung, die bestätigt, dass auf einem Server die Web-Verschlüsselung aktiviert ist, um Daten während der Übertragung zu schützen. Angreifer aller Art nutzen diese Zertifikate zunehmend, um Legitimität zu erzeugen – auch wenn eine verschlüsselte Site nicht unbedingt sicher ist.

Die Fluggesellschaft gab in ihrer Enthüllung auch an, dass sich der Angriff auf seine mobilen Nutzer ausgewirkt habe. Klijnsma fand einen Teil der British Airways Android App, die auf dem gleichen Code wie der kompromittierte Teil der Website der Fluggesellschaft basiert. Es ist normal, dass die Funktionalität einer App teilweise auf der bestehenden Webinfrastruktur basiert, aber die Praxis kann auch ein gemeinsames Risiko schaffen. Im Fall der British Airways Android-App trifft die bösartige JavaScript-Komponente, die die Angreifer auf die Hauptseite injiziert haben, ebenfalls die mobile App. Angreifer scheinen das Skript mit Blick auf Touchscreen-Eingaben entworfen zu haben.

Der Angriff war zwar nicht aufwendig, aber effektiv, weil er auf die spezifischen Schwachstellen des British Airways-Scripts und des Datenflusses zugeschnitten war.

British Airways sagte am Dienstag in einer Erklärung gegenüber WIRED: "Da dies eine strafrechtliche Untersuchung ist, können wir Spekulationen nicht kommentieren."1 RiskIQ gab an, dass es die Ergebnisse der britischen National Crime Agency und dem National Cyber ​​Security Center vorgelegt hat, die den Bruch mit British Airways untersuchen. "Wir arbeiten mit Partnern zusammen, um diesen Vorfall besser zu verstehen und wie er die Kunden beeinflusst hat", sagte ein Sprecher des NCSC am Freitag.

RiskIQ sagt, dass es den Vorfall Magecart zuordnet, weil der Skimmer-Code, der in die British Airways-Website eingefügt wird, eine modifizierte Version des Markenzeichen-Skripts der Gruppe ist. RiskIQ betrachtet den Angriff auch als eine Weiterentwicklung der Techniken, die bei der kürzlich erfolgten Ticketmaster-Verletzung eingesetzt wurden, die RiskIQ mit Magecart verband, allerdings mit der zusätzlichen Innovation, die Website eines Opfers direkt anzusprechen, anstatt eine dritte Partei zu kompromittieren. Einige der Angriffsinfrastrukturen, wie das Webserver-Hosting und der Domänenname, verweisen ebenfalls auf die Gruppe.

Bislang haben sich British Airways und die Strafverfolgungsbehörden zu dieser Zuschreibung nicht öffentlich geäußert, aber Klijnsma sagt, dass der andere Imbiss vorläufig die Prävalenz winziger Sicherheitslücken in Websites ist, die schnell zu riesigen Exposures werden können.

"Es kommt darauf an, dass Sie Ihre Web-Assets kennen", sagt Klijnsma. "Überstrapazieren Sie nicht – stellen Sie bloß dar, was Sie brauchen. Die Konsequenzen, die in diesem Vorfall gesehen werden, können wirklich sehr, sehr schlecht sein."

1Update 9/11/18 10:15 Uhr ET, um eine Erklärung von British Airways einzubeziehen.


Mehr große WIRED Geschichten