先週ブリティッシュ・エアラインのブリティッシュ・エアウェイズは、今年8月21日から9月5日までの間に行われた同社のウェブサイトでの約38万件の取引からのデータの盗難を認めた。名前、メールアドレス、銀行口座、その他の機密情報が侵害されました。現在、脅威検出会社RiskIQの研究者たちは、攻撃者が強盗をどのように実行したかについて新たな光を投げかけています。
このセキュリティ会社によると、データを入手するために、サイバー犯罪者は航空会社のWebサイトにスクリプトを配置しました。サプライチェーン攻撃と呼ばれるこの方法は、サードパーティベンダーのコードを組み込んだページでますます一般的な問題になっています。あなたにアイデアを与えるために、これらのサードパーティは、広告を配置したり、ログインを許可したり、支払いの承認を許可したりするためのコードを提供できます。これは、最近数か月の間に同様のことがわかった唯一のケースではありません。チケットマスターの発券会社がこのような攻撃を受け、英国の約4万人のユーザーが影響を受けました。
RiskIQはまた、このスクリプトはブリティッシュエアウェイズの手荷物受取所情報ページにリンクされているとコメントしています。侵害が2012年12月になる前に最後に変更されました。調査官は、攻撃者がこのコンポーネントを改ざんしてコード(22行のみ)を含めるように修正したことにすぐに気付きました。悪意のあるコードは、ユーザーが支払いフォームに入力したデータを取得し、ユーザーが送信ボタンをクリックまたはタップしたときに攻撃者が制御するサーバーに送信しました。攻撃者は、サーバーのセキュリティ証明書(サーバーで転送中のデータを保護するためにWeb暗号化が有効になっていることを確認する資格情報)をセットアップするために支払いさえしました。
これらすべてに対して、攻撃はモバイルユーザーにも影響を及ぼしたことに注意する必要があります。セキュリティ会社は、航空会社のWebサイトの侵害された部分と同じコードから構築されたブリティッシュエアウェイズAndroidアプリケーションの一部も発見しました。この場合、攻撃者がメインサイトに挿入した悪意のあるJavaScriptコンポーネントもモバイルアプリに影響を及ぼしました。攻撃者はこれを念頭に置いてスクリプトを設計し、タッチスクリーンへの入力に対応しました。
これらはブリティッシュ・エアウェイズにとって良い時期ではありません。5月、7月は停電により一部便の欠航・遅延が発生し、お客様からの苦情がありました。現在、38,000のコミット済みトランザクション。英国国家犯罪庁はすでにこの事件を調査しています。ブリティッシュエアウェイズがユーザーデータの保護に怠慢であることがわかった場合、グローバル利益の最大4%の罰金を科される可能性があります。