曲速未來 :航空公司慘遭黑客攻擊泄露38萬客戶信息詳細分析區(qū)塊鏈
區(qū)塊鏈安全咨詢公司曲速未來消息:在深入研究英國航空公司網站內網絡犯罪分子注入的代碼之后,研究人員發(fā)現(xiàn)僅有22行JavaScript代碼是英國航空公司受該黑客攻擊,導致38萬名客戶數(shù)據(jù)被盜的罪魁禍首。
回顧:
英國航空公司披露了遭到黑客攻擊,大約380,000張客戶支付信用卡詳細數(shù)據(jù)被盜。英國航空公司在本周四的一份聲明中表示:“我們正在緊急調查從我們的網站和移動應用竊取的客戶數(shù)據(jù)事件。”雖然披露的細節(jié)較少,但根據(jù)英國航空公司的公告,泄露的數(shù)據(jù)會影響到2018年8月21日至9月5日期間通過航空公司網站ba.com或移動應用程序進行預定的客戶。被盜的數(shù)據(jù)包括客戶姓名,電子郵件地址,家庭住址和信用卡詳細信息,但不包括護照詳細信息。英國航空公司每天運送乘客145,000人,是英國最大的航空公司。此公司表示將聯(lián)系并賠償因此受到損失的客戶。聲明如下:
該航空公司表示,它已將有關違規(guī)情況通知警方,并“將在適當?shù)臅r候披露最新進展。”隨后,作為緊急事件,航空公司調查了這起安全漏洞。該公司表示,這一漏洞已得到解決,該網站目前正在正常運行。
英國航空公司報告提到他們的其他服務,服務器或數(shù)據(jù)庫都沒有受到影響,這導致安全研究團隊得出結論,支付服務是數(shù)據(jù)泄露的唯一罪魁禍首,這是Magecart熟知的專業(yè)領域。眾所周知,這些騙子使用基于網絡的卡片撇取器作為竊取信用卡支付數(shù)據(jù)的手段,這是經典的卡片撇取器的在線版本。
區(qū)塊鏈安全咨詢公司 曲速未來 消息:在深入研究英國航空公司網站內網絡犯罪分子注入的代碼之后,研究人員發(fā)現(xiàn)僅有22行JavaScript代碼是英國航空公司受該黑客攻擊,導致38萬名客戶數(shù)據(jù)被盜的罪魁禍首。
圖2. Magecart添加的可疑腳本標簽
在英國航空公司服務器發(fā)送的服務器標頭中發(fā)現(xiàn)了更多的證據(jù)。服務器發(fā)送了一個“Last-Modified”標頭,表示上次修改靜態(tài)內容的時間。Modernizr腳本的潔凈版有一個2012年12月的時間戳:
圖3.受損腳本的潔凈版
可以看到,在經過修改的、惡意的Modernizr版本上,時間戳與英國航空公司所給出的時間戳的匹配程度非常接近,因為這意味著人們開始受到攻擊:
圖4.撇取開始的時間戳
英國航空公司移動應用程序也受到改變的Modernizr JavaScript庫的影響,因為它調用了網站使用的相同腳本資源,以允許客戶進行付款。
圖5.僅22行腳本就傷害了38萬人
從本質上講,這個腳本非常簡單,非常有效。下面是它的分類:
一旦頁面上的每個元素完成加載,它將將mouseup和touchend事件綁定到名為submitButton的按鈕上,使用以下回調代碼:
在網站上,mouseup和touchend是指某人在點擊按鈕后松開鼠標,或者某人在觸屏(移動)設備上按下按鈕后松開屏幕。這意味著,一旦用戶在英國航空公司(British Airways)網站上點擊提交付款的按鈕,支付表單中的信息就會連同姓名一起被提取出來,并發(fā)送到攻擊者的服務器。
研究人員表示,這次攻擊再次向我們展示了黑客的高水平的規(guī)劃和對細節(jié)的關注,這次攻擊簡單有效。研究人員還發(fā)現(xiàn),所有被盜數(shù)據(jù)都被發(fā)送到位于羅馬尼亞的服務器上的baways.com域,其IP地址為89.47.162.248,由立陶宛VPS(虛擬專用服務器)提供商Time4VPS提供。
圖7.攻擊者利用的證書
此外,為了使baways.com域更可信,騙子使用了由COMODO CA發(fā)行的付費SSL證書,而不是購買免費的LetsEncrypt版本。
區(qū)塊鏈安全咨詢公司 曲速未來 表示:最近英國航空公司的數(shù)據(jù)泄露事件表明,Magecart是一個積極的威脅,其規(guī)模和廣度可以與家得寶(Home Depot)和塔吉特(Target)等零售巨頭最近達成的銷售點系統(tǒng)妥協(xié)相提并論,甚至可能超過后者。Magecart從2015年就開始活躍起來,并且從未從他們選擇的犯罪活動中撤退。相反,他們不斷改進他們的策略和目標,以最大限度的回報他們的努力。
隨著時間的推移,它們優(yōu)化了自己的策略,最終成功的侵入了Inbenta等第三方供應商,導致Ticketmaster客戶數(shù)據(jù)被盜。現(xiàn)在可以看到他們瞄準特定的品牌,策劃他們的攻擊以匹配特定網站的功能,可以在英國航空公司(British Airways)被入侵時就看到了這一點。未來還會有更多的Magecart攻擊,所以我們都要在網絡安全行業(yè)了解這些研究。
本文內容由曲速未來安全咨詢公司整理編譯,轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發(fā)安全、智能合約開發(fā)安全等相關區(qū)塊鏈安全咨詢服務。
1.TMT觀察網遵循行業(yè)規(guī)范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創(chuàng)文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創(chuàng)的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
