曲速未来 ：航空公司惨遭黑客攻击泄露38万客户信息详细分析

回顾：

英国航空公司披露了遭到黑客攻击，大约380，000张客户支付信用卡详细数据被盗。英国航空公司在本周四的一份声明中表示：“我们正在紧急调查从我们的网站和移动应用窃取的客户数据事件。”虽然披露的细节较少，但根据英国航空公司的公告，泄露的数据会影响到2018年8月21日至9月5日期间通过航空公司网站ba.com或移动应用程序进行预定的客户。被盗的数据包括客户姓名，电子邮件地址，家庭住址和信用卡详细信息，但不包括护照详细信息。英国航空公司每天运送乘客145，000人，是英国最大的航空公司。此公司表示将联系并赔偿因此受到损失的客户。声明如下：

该航空公司表示，它已将有关违规情况通知警方，并“将在适当的时候披露最新进展。”随后，作为紧急事件，航空公司调查了这起安全漏洞。该公司表示，这一漏洞已得到解决，该网站目前正在正常运行。

英国航空公司报告提到他们的其他服务，服务器或数据库都没有受到影响，这导致安全研究团队得出结论，支付服务是数据泄露的唯一罪魁祸首，这是Magecart熟知的专业领域。众所周知，这些骗子使用基于网络的卡片撇取器作为窃取信用卡支付数据的手段，这是经典的卡片撇取器的在线版本。

区块链安全咨询公司 曲速未来 消息：在深入研究英国航空公司网站内网络犯罪分子注入的代码之后，研究人员发现仅有22行JavaScript代码是英国航空公司受该黑客攻击，导致38万名客户数据被盗的罪魁祸首。

图2. Magecart添加的可疑脚本标签

在英国航空公司服务器发送的服务器标头中发现了更多的证据。服务器发送了一个“Last-Modified”标头，表示上次修改静态内容的时间。Modernizr脚本的洁净版有一个2012年12月的时间戳：

图3.受损脚本的洁净版

可以看到，在经过修改的、恶意的Modernizr版本上，时间戳与英国航空公司所给出的时间戳的匹配程度非常接近，因为这意味着人们开始受到攻击:

图4.撇取开始的时间戳

英国航空公司移动应用程序也受到改变的Modernizr JavaScript库的影响，因为它调用了网站使用的相同脚本资源，以允许客户进行付款。

图5.仅22行脚本就伤害了38万人

从本质上讲，这个脚本非常简单，非常有效。下面是它的分类:

一旦页面上的每个元素完成加载，它将将mouseup和touchend事件绑定到名为submitButton的按钮上，使用以下回调代码:

在网站上，mouseup和touchend是指某人在点击按钮后松开鼠标，或者某人在触屏(移动)设备上按下按钮后松开屏幕。这意味着，一旦用户在英国航空公司(British Airways)网站上点击提交付款的按钮，支付表单中的信息就会连同姓名一起被提取出来，并发送到攻击者的服务器。

研究人员表示，这次攻击再次向我们展示了黑客的高水平的规划和对细节的关注，这次攻击简单有效。研究人员还发现，所有被盗数据都被发送到位于罗马尼亚的服务器上的baways.com域，其IP地址为89.47.162.248，由立陶宛VPS（虚拟专用服务器）提供商Time4VPS提供。

图7.攻击者利用的证书

此外，为了使baways.com域更可信，骗子使用了由COMODO CA发行的付费SSL证书，而不是购买免费的LetsEncrypt版本。

区块链安全咨询公司 曲速未来 表示：最近英国航空公司的数据泄露事件表明，Magecart是一个积极的威胁，其规模和广度可以与家得宝(Home Depot)和塔吉特(Target)等零售巨头最近达成的销售点系统妥协相提并论，甚至可能超过后者。Magecart从2015年就开始活跃起来，并且从未从他们选择的犯罪活动中撤退。相反，他们不断改进他们的策略和目标，以最大限度的回报他们的努力。

随着时间的推移，它们优化了自己的策略，最终成功的侵入了Inbenta等第三方供应商，导致Ticketmaster客户数据被盗。现在可以看到他们瞄准特定的品牌，策划他们的攻击以匹配特定网站的功能，可以在英国航空公司(British Airways)被入侵时就看到了这一点。未来还会有更多的Magecart攻击，所以我们都要在网络安全行业了解这些研究。

本文内容由曲速未来安全咨询公司整理编译，转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。