Kaj je šlo narobe v British Airwaysu

Matej Huš

11. sep 2018 ob 19:04:52

Minuli teden je odjeknila novica, da so hekerji vdrli v British Airways in odnesli osebne podatek 380.000 strank, med katerimi so bile tudi številne kreditnih kartice, datumi veljavnosti in kode CVV. Ker je British Airways takoj sporočil okno ranljivosti, ki so ga poznali do minute, in ker so hekerji dobili tudi številke CVV, ki se ne shranjujejo lokalno, je to sprožilo precej ugibanj, kaj natančno se je zgodilo. V podjetju RiskIQ, ki se ukvarja z računalniško varnostjo, so sedaj objavili svojo analizo, kaj se je zelo verjetno zgodilo. Skupina Magecart naj bi zlonamerno kodo vtihotapila v spletne strežnike British Airways, kjer je v realnem času prestrezala podatke kupcev letalskih vozovnic.

Vodja RiskIQ Yonathan Klijnsma pojasnjuje, da je skupina Magecart znan igralec, ki je bil na primer odgovoren tudi za vdor v Ticketmaster, aktivni pa so vsaj od leta 2015. Doslej so večinoma uporabljali standardne prijeme, medtem ko so pri napadu na British Airways uporabili posebej prilagojeno kodo, kar priča o dobrem poznavanju njihovega sistema. Pri napadu na Ticketmaster so vdrli v plačilno storitev, ki jo je zanj opravljalo tretje podjetje, medtem ko so to pot vdrli v same spletne strani British Airways. Z napadom cross-site scripting so vrinili lastno kodo. Na uporabniški strani je zadoščalo že 22 vrstic kode, seveda pa je bilo treba kodo postaviti na pravo mesto in dobiti dostop do tja. Kot kaže, napadalci niso dobili dostopa do baze, temveč so le prestrezali vneseno.

Zlonamerne skripte, ki jih je RiskIQ opazil pri rednem nadzoru spletni strani (dnevno jih prečešejo kar dve milijardi), so poklicale API na naslovu baways.com (litovski strežnik), do katerega so se povezovale s certifikatom, ki ga je izdal Comodo (toliko o verodostojnosti tega izdajatelja). Ko je uporabnik kliknil pošlji, je skripta poslalo kopijo vseh vnesenih podatkov napadalcem. Ker so dodali še touchend, je napad deloval tudi prek mobilne aplikacije, ki je izkoriščala isto spletno infrastrukturo (kar je slaba ideja). Iz British Airways navedb niso komentirali.