Nul
En it-kriminel operation kendt som Magecart menes at have stået bag den seneste kort overtrædelse meddelte i sidste uge, af British Airways.
Driften har været aktiv siden 2015, når RisqIQ og ClearSky forskere opdaget malware for første gang.
Koncernens almindelige drift involverer hacking ind i online-butikker og skjule JavaScript-kode, der stjæler betalingskort oplysninger, der indtastes i butikken kassen sider, oplysninger, såsom kreditkort-numre, navne, adresser, og hvad der er indsamlet via indbetalingskort.
Gruppen har været meget aktive i de seneste tre år, bliver beskyldt for at tilføre kort skumme scripts på tusindvis af websteder, med den seneste guldgrube af kompromitterede websteder, der bliver opdaget for to uger siden.
Af alle sine hacks, den mest berygtede hændelse var, da gruppen kompromitteret en tredjepart chat udbyder og brugt sin infrastruktur til at droppe skadelige scripts på Ticketmaster checkout side.
Også: Tech support svindlere finde et hjem på Microsoft TechNet-sider
Men i en rapport, der blev offentliggjort i dag, forskere på RisqIQ siger, at de fandt spor, der forbinder de samme Magecart drift til British Airways brud.
Dette brud blev annonceret i sidste uge, da British Airways sagde, at en ukendt hacker kompromitteret sine systemer og stjal kortoplysninger over på 380.000 brugere.
Det BRITISKE flyselskab ikke giver dybdegående tekniske detaljer, men kun afsløret, at angriberen er indsamlet oplysninger om betalinger, der foretages via dets primære hjemmeside ba.com og fra sin mobile app, mellem 22:58 GMT August 21, 2018, og at 21:45 GMT September 5, 2018.
Også: AMERIKANSKE regering frigiver post mortem-rapport om Equifax hack
Men RisqIQ eksperter siger, at den tid, som British Airways, der leveres i sin officielle erklæring blev et vigtigt fingerpeg for sin undersøgelse.
Eksperter sagde, at de straks gik til et internt værktøj, der archives kildekoden til websteder på tværs af tid. De har brugt dette værktøj til at se, hvordan JavaScript-kode, der er lagt på British Airways hjemmeside ændret på den tid af hack.
Forskere siger, at de fandt, at en fil, der ikke tidligere havde været ændret siden 2012 blev ændret på August 21, 2018, kl:20: 49 GMT, to timer før den dato, der er omhandlet i British Airways pressemeddelelse.
RisqIQ siger Magecart gruppe tilføjet en ondsindet stykke kode i slutningen af en tidligere ren fil med navnet modernizr-2.6.2.js.
Dette stykke kode, der overvåges for visse mus-up og touch-up interaktioner, der er udtrukket data, som indtastes i kassen side betalingsform, og sendte den til en ekstern server placeret i Rumænien (faktisk ejet af en litauisk virtuel privat server [VPS] provider).
Denne server var også ved hjælp af et Comodo certifikat, der er registreret dage før hack, August 15. Ifølge RisqIQ, at dette certifikat afslører angribere havde tid til at forberede hack-dage, før det begyndte, hvilket også betyder, at de sandsynligvis havde adgang til British Airways hjemmeside infrastruktur på det tidspunkt som godt.
Også: Ny Stilhed hacking gruppen er mistænkt for at have forbindelser til cyber-sikkerhed, industri
Desuden RisqIQ eksperter sagde også, at de har løst mysteriet om, hvorfor det kompromis, der fandt sted på både hoved-British Airways hjemmeside og den mobile app på samme tid.
Kreditkort skumme scripts påvirke normalt kun websteder, hovedsagelig fordi mobile apps administreres fra en anden kodebase. Men ifølge RisqIQ, British Airways devs valgt at indlæse hjemmeside betaling interface inde i den mobile app, hvilket betyder, at den officielle app også lagt ondsindet kort skimmer script så godt, dermed grunden til, at betalinger fra den mobile app blev også registreret.
Med Magecart drift vokser i størrelse hvert år, det bliver mere og mere farlig til at betale for varer online, selv på større platforme, der ejes af selskaber, der bør, i det mindste i teorien, har råd til at sikre deres hjemmesider fra kompromis.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0