1. 程式人生 > >曲速未來 :航空公司慘遭黑客攻擊洩露38萬客戶資訊詳細分析

曲速未來 :航空公司慘遭黑客攻擊洩露38萬客戶資訊詳細分析

回顧:

 

英國航空公司披露了遭到黑客攻擊,大約380,000張客戶支付信用卡詳細資料被盜。英國航空公司在本週四的一份宣告中表示:“我們正在緊急調查從我們的網站和移動應用竊取的客戶資料事件。”雖然披露的細節較少,但根據英國航空公司的公告,洩露的資料會影響到2018年8月21日至9月5日期間通過航空公司網站ba.com或移動應用程式進行預定的客戶。被盜的資料包括客戶姓名,電子郵件地址,家庭住址和信用卡詳細資訊,但不包括護照詳細資訊。英國航空公司每天運送乘客145,000人,是英國最大的航空公司。此公司表示將聯絡並賠償因此受到損失的客戶。宣告如下:

該航空公司表示,它已將有關違規情況通知警方,並“將在適當的時候披露最新進展。”隨後,作為緊急事件,航空公司調查了這起安全漏洞。該公司表示,這一漏洞已得到解決,該網站目前正在正常執行。

英國航空公司報告提到他們的其他服務,伺服器或資料庫都沒有受到影響,這導致安全研究團隊得出結論,支付服務是資料洩露的唯一罪魁禍首,這是Magecart熟知的專業領域。眾所周知,這些騙子使用基於網路的卡片撇取器作為竊取信用卡支付資料的手段,這是經典的卡片撇取器的線上版本。

 

區塊鏈安全諮詢公司 曲速未來 訊息:在深入研究英國航空公司網站內網路犯罪分子注入的程式碼之後,研究人員發現僅有22行JavaScript程式碼是英國航空公司受該黑客攻擊,導致38萬名客戶資料被盜的罪魁禍首。

 

圖2. Magecart新增的可疑指令碼標籤

 

 

在英國航空公司伺服器傳送的伺服器標頭中發現了更多的證據。伺服器傳送了一個“Last-Modified”標頭,表示上次修改靜態內容的時間。Modernizr指令碼的潔淨版有一個2012年12月的時間戳:

圖3.受損指令碼的潔淨版

 

 

可以看到,在經過修改的、惡意的Modernizr版本上,時間戳與英國航空公司所給出的時間戳的匹配程度非常接近,因為這意味著人們開始受到攻擊:

圖4.撇取開始的時間戳

 

 

英國航空公司移動應用程式也受到改變的Modernizr JavaScript庫的影響,因為它呼叫了網站使用的相同指令碼資源,以允許客戶進行付款。

圖5.僅22行指令碼就傷害了38萬人

 

 

從本質上講,這個指令碼非常簡單,非常有效。下面是它的分類:

一旦頁面上的每個元素完成載入,它將將mouseup和touchend事件繫結到名為submitButton的按鈕上,使用以下回調程式碼:

在網站上,mouseup和touchend是指某人在點選按鈕後鬆開滑鼠,或者某人在觸屏(移動)裝置上按下按鈕後鬆開螢幕。這意味著,一旦使用者在英國航空公司(British Airways)網站上點選提交付款的按鈕,支付表單中的資訊就會連同姓名一起被提取出來,併發送到攻擊者的伺服器。

研究人員表示,這次攻擊再次向我們展示了黑客的高水平的規劃和對細節的關注,這次攻擊簡單有效。研究人員還發現,所有被盜資料都被髮送到位於羅馬尼亞的伺服器上的baways.com域,其IP地址為89.47.162.248,由立陶宛VPS(虛擬專用伺服器)提供商Time4VPS提供。

圖7.攻擊者利用的證書

 

 

此外,為了使baways.com域更可信,騙子使用了由COMODO CA發行的付費SSL證書,而不是購買免費的LetsEncrypt版本。

 

區塊鏈安全諮詢公司 曲速未來 表示:最近英國航空公司的資料洩露事件表明,Magecart是一個積極的威脅,其規模和廣度可以與家得寶(Home Depot)和塔吉特(Target)等零售巨頭最近達成的銷售點系統妥協相提並論,甚至可能超過後者。Magecart從2015年就開始活躍起來,並且從未從他們選擇的犯罪活動中撤退。相反,他們不斷改進他們的策略和目標,以最大限度的回報他們的努力。

 

隨著時間的推移,它們優化了自己的策略,最終成功的侵入了Inbenta等第三方供應商,導致Ticketmaster客戶資料被盜。現在可以看到他們瞄準特定的品牌,策劃他們的攻擊以匹配特定網站的功能,可以在英國航空公司(British Airways)被入侵時就看到了這一點。未來還會有更多的Magecart攻擊,所以我們都要在網路安全行業瞭解這些研究。

 

本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司整理編譯,轉載請註明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智慧合約開發安全等相關區塊鏈安全諮詢服務。