今年,英国航空公司报吿了两次重大的数据泄露,初次报吿是在 9 月,涉及 8 月和 9 月的 24.4 万笔信用卡交易,进一步披露是在 10 月,涉及从 4 月到 7 月的另外 18.5 万笔交易。
位于旧金山的网络安全公司 RiskIQ 提供了一个详细的分析,英国航空公司安全漏洞的出现是通过恶意注入 JavaScript 源代码,并配置服务器基础设施,使其看上去和英国航空公司有关。
据 RiskIQ 报道,遭到破坏的源代码是英国航空公司使用的 Modernizr 和 jQuery,其中被注入了 22 行 JavaScript 源代码。不管是 Modernizr,还是 jQuery,并不是它们本身不安全,但是,添加到英国航空公司网站所用版本中的脚本,会在支付时从信用卡表单读取数据,除了会向英国航空公司的后端正确地发送数据外,它还会发送该数据的副本到“baways.com”,一个被认为是属于攻击者的网站。这种攻击得以完成的罪魁祸首是修改了英国航空公司网站的生产源代码。
RiskIQ 把安全入侵归罪于 Magecart,该团队还要为 Ticketmaster 和新蛋网的数据泄露负责:
数据泄露影响了 Web 浏览器和移动应用的信用卡交易,因为它们利用了相同的遭到破坏的源代码。对于第一次报吿的数据泄露事件,最初报吿的 38 万笔被泄露交易后来被英国航空公司减少到 24.4 万笔。
目前还不清楚第二次数据泄露的机制。据报道,数据泄露是在奖励机票预订时发生的,而在进行交易前是需要用户身份验证的。如此说来,在数据泄露期间查看源代码的公共存档并不是那么简单。
针对这种攻击的第一道防线是检测对基础设施的入侵。然而据报道,在这起事件中,英国航空公司并不知道有人入侵。下一道防线是验证生产 JavaScript 源代码没有被意外修改。一种解决方案是实现一个外部监控系统,该系统可以检测到对公开源代码的任何更改,并验证任何报告的更改是否是有意更改。此验证可以通过验证校验和自动实现。
最近,最终定稿的W3C子资源完整性标准(由 Edge、Chrome、Firefox 和 Safari 支持)也可能有助于防止此类攻击,特别是针对第三方脚本。然而,在英国航空公司被黑客攻击的情况下,攻击者可能还会更改加载了遭到破坏的 JavaScript 源代码的脚本标签中的完整性散列。
查看英文原文:British Airways>
