British Airways hackat!

Vi kan IT-säkerhet

British Airways hackat!

De flesta har nog redan hört om attacken på British Airways. Om det är någon som missat detta så lyckades alltså hackare under en period på ca 3 veckor (från slutet av augusti till början av september 2018) komma över kreditkortsnummer och adressinformation till omkring 380 000 resenärer som köpt sina resor via British airways hemsida eller via deras mobil app.

Så vad vet man om hur detta gått till ?

Enligt Yonathan Klijnsma är det en grupp som kallas för Magecart som misstänks ligger bakom attacken. Denna grupp har också pekats ut som ansvarig för attacken på Ticketmaster i juni 2018 där 40 000 kunder berördes.

Attacken måste anses vara ganska avancerad då man har,

A) Hackat sig in på BA:s webbserver (här vet man inte exakt hur detta har gått till då BA inte lämnat ut någon information om detta, kanske har det skett genom att man har gissat ett lösenord, utnyttjat svaghet i serverns programvara eller via någon form av social engineering).

B) Hackarna har sedan registrerat domänen baways.com där man även har köpt ett tillhörande SSL certifikat från Comodo (för att säkerställa att allt ser legitimt ut).

C) Man har hyrt en virtuell server från time4VPS som kopplats mot domänen baways.com (gissningsvis är denna betald med någon form av kryptovaluta då time4VPS accepterar betalning via flertalet sådana). På servern har man sedan kört den programvara som tar mot de stulna kortuppgifterna.

D) Hackarna har som sista steg i attacken ändrat i ett delat javaskriptbibliotek (modernizr.js) som BA:s bokningssida använder sig av. Ändringen består av 22 rader javaskriptkod vilka läser av de värden kunden matat in i fälten för adress och kortuppgifter och skickar sedan dessa till den hyrda servern på time4VPS.

Konsekvensen blir att när en kund laddar BA:s bokningssida kommer den modifierade versionen av modernizr att användas och allt man matar in i webbläsaren postas till den server hackarna har satt upp för att ta emot informationen.

Vad kunde man gjort för att förhindra attacken?

Det är inte känt exakt hur hackarna tog över BA:s webbserver så att de kunde modifiera i javaskriptbiblioteket modernizr, därför kan vi inte uttala oss hur man bästa hade kunnat skyddat sig mot detta.

Men det som hände sedan kunde enkelt ha föhindrats genom en IDS-programvara som larmar när filer ändras på webbservern. Ett företag i BA:s storlek borde även använda sig av någon form av platform för att bevaka sitt digitala avtryck (t.ex. RiskIQ:s digital footprint), man hade då blivit uppmärksammad på att någon registrerat domänen baways.com och att motsvarande certifikat utfärdats.

Kostnaden för British Airways, både vad gäller rykte och i pengar är naturligtvis omfattande. I teorin kan böter utdömas till över 5 miljarder svenska kronor, det är dock inte troligt att ett sådant högt belopp utdöms.

Vår slutsats

Historien visar åter igen att en investering i IT-säkerhet snabbt kan betala sig, om ni saknar egen kompetens eller vill ha hjälp tveka inte att ta kontakt med oss på Swedish Cyber Security Team.

Lämna ett svar