Minulý týždeň britská letecká spoločnosť British Airways pripustila krádež údajov z približne 380 000 transakcií na svojej webovej stránke uskutočnených od 21. augusta do 5. septembra tohto roku . Mená, e-mailové adresy, bankové účty a ďalšie citlivé informácie boli zneužité. Teraz vedci z firmy RiskIQ na zisťovanie hrozieb vrhajú nové svetlo na to, ako útočníci vykonali lúpež.
Podľa tejto bezpečnostnej spoločnosti mali počítačoví zločinci na získanie údajov umiestniť na web leteckej spoločnosti skript. Táto metóda, známa ako útok na dodávateľský reťazec, je čoraz častejším problémom stránok, ktoré obsahujú kód od dodávateľov tretích strán. Pre predstavu, tieto tretie strany môžu poskytnúť kód na umiestnenie reklamy, povolenie prihlásenia alebo povolenie platby. Toto nie je jediný prípad, ktorý sme v posledných mesiacoch poznali podobne . Ticketmasterová spoločnosť Ticketmaster utrpela taký útok, ktorý zasiahol asi 40 000 používateľov vo Veľkej Británii.
RiskIQ tiež uviedol, že skript bol prepojený s informačnou stránkou spoločnosti British Airways o nárokovaní batožiny. Naposledy bola upravená pred narušením v decembri 2012. Vyšetrovatelia rýchlo zistili, že útočníci revidovali komponent tak, aby obsahoval kód (iba 22 riadkov), ktorý sa často používa pri tajných manipuláciách. Škodlivý kód vzal údaje zadané zákazníkom do platobného formulára a po kliknutí alebo klepnutí na tlačidlo Odoslať ich odoslal na server ovládaný útočníkom . Útočníci dokonca zaplatili za nastavenie bezpečnostného certifikátu pre ich server, čo je poverenie, ktoré potvrdzuje, že server má na ochranu dát pri prenose povolené šifrovanie webu.
K tomu všetkému si treba uvedomiť, že útok zasiahol aj mobilných používateľov. Bezpečnostná spoločnosť tiež našla časť aplikácie pre Android British Airways vytvorenú z rovnakého kódu ako napadnutá časť webovej stránky leteckej spoločnosti. V takom prípade škodlivá súčasť JavaScriptu, ktorú útočníci vložili na hlavný web, ovplyvnila aj mobilnú aplikáciu. Útočníci tento scenár navrhli tak, aby vyhovovali vstupom dotykovej obrazovky.
Pre British Airways to nie sú dobré časy. Vlani v máji a júli spoločnosť musela zrušiť a meškať niektoré lety kvôli výpadkom prúdu, čo malo za následok sťažnosti jej zákazníkov. Teraz 38 000 transakcií. Britská národná kriminálna agentúra už túto udalosť vyšetruje. Ak zistíte, že spoločnosť British Airways nedbalo chránila údaje svojich používateľov, môžete dostať pokutu až do výšky 4% vašich globálnych ziskov.