Volgens een analyse van beveiligingsbedrijf RiskIQ zit dezelfde groep achter de hacks op British Airways en Ticketmaster. Het zou gaan om de zogenaamde Magecart-groep, die uit is op betaalgegevens en andere gevoelige informatie.

Het bedrijf legt de link tussen beide incidenten in een analyse van de scripts op de site van British Airways. Normaal gesproken krijgt het bedrijf een melding als er een Magecart-script op een site verschijnt dat op een zwarte lijst staat, maar in dit geval ging het om een aangepaste variant. Door de wijzigingen op de site te onderzoeken, kwam RiskIQ erachter dat er op 21 augustus van dit jaar een aanpassing was gedaan in de Modernizr-bibliotheek voor JavaScript op de British Airways-pagina voor bagageclaims. Het script was aangevuld met 22 regels code, die het mogelijk maakten om ingevulde gegevens te stelen, aldus het beveiligingsbedrijf.

Code

Die regels code zorgden ervoor dat bij bepaalde gebeurtenissen de inhoud van de velden paymentForm en personPaying werden doorgestuurd naar een server die werd gehost op het domein baways.com. Dit domein behoort aan de aanvallers en maakt deel uit van een infrastructuur die specifiek voor British Airways was opgezet. Volgens het beveiligingsbedrijf ging het dan ook om een zeer gerichte aanval, waarbij Magecart niet zomaar zijn gebruikelijke skimmer-script injecteerde.

Het skimmen van gegevens was niet beperkt tot de site van de luchtvaartmaatschappij, claimt RiskIQ verder. Ook in de mobiele app was een kwaadaardige pagina aanwezig die gegevens stal. De app laadt namelijk in bepaalde gevallen de mobiele versie van de British Airways-site in plaats van gebruik te maken van de beschikbare api's. Een van deze pagina's, die ging over belastingen, bevatte eveneens het aangepaste script. De aanvallers zouden moeite hebben gedaan om de methode te laten werken op mobiele apparaten.

RiskIQ oppert dat de aanvallers brede toegang moeten hebben gehad tot de British Airways-infrastructuur om hun aanpassingen te doen. Daarnaast zou het mogelijk zijn dat ze lang voordat de aanval begon al toegang hadden. British Airways maakte vorige week bekend dat onbekenden de gegevens van 380.000 klanten hebben gestolen tussen 21 augustus en 5 september. Daarbij ging het om volledige namen, factuuradressen, e-mailadressen en creditcardgegevens bestaande uit nummers, verloopdata en cvv-codes. RiskIQ publiceerde eerder ook al een analyse van het Ticketmaster-incident.

Reacties mogelijk gemaakt door CComment