报名参加CloudWeGo黑客松,奖金直推双丰收! 了解详情
写点什么

恶意 JavaScript 注入导致英国航空公司发生重大数据泄露

  • 2018-11-15
  • 本文字数:1259 字

    阅读完需:约 4 分钟

恶意JavaScript注入导致英国航空公司发生重大数据泄露

今年,英国航空公司报吿了两次重大的数据泄露,初次报吿是在 9 月,涉及 8 月和 9 月的 24.4 万笔信用卡交易,进一步披露是在 10 月,涉及从 4 月到 7 月的另外 18.5 万笔交易。


位于旧金山的网络安全公司 RiskIQ 提供了一个详细的分析,英国航空公司安全漏洞的出现是通过恶意注入 JavaScript 源代码,并配置服务器基础设施,使其看上去和英国航空公司有关。


据 RiskIQ 报道,遭到破坏的源代码是英国航空公司使用的 Modernizr 和 jQuery,其中被注入了 22 行 JavaScript 源代码。不管是 Modernizr,还是 jQuery,并不是它们本身不安全,但是,添加到英国航空公司网站所用版本中的脚本,会在支付时从信用卡表单读取数据,除了会向英国航空公司的后端正确地发送数据外,它还会发送该数据的副本到“baways.com”,一个被认为是属于攻击者的网站。这种攻击得以完成的罪魁祸首是修改了英国航空公司网站的生产源代码。


RiskIQ 把安全入侵归罪于 Magecart,该团队还要为 Ticketmaster 和新蛋网的数据泄露负责:


自 2016 年以来,RiskIQ 就报道了由威胁集团 Magecart 运营的基于网络的“盗卡器(card skimmer)”的使用。传统上,犯罪分子使用被称为盗卡器的设备——隐藏在 ATM 机、油泵和其他供人们每天用信用卡支付的机器上的信用卡读卡器中——窃取信用卡数据,供犯罪分子后续收集,或者自己使用,或者卖给其他人。Magecart 使用了这些设备的数字变体。

Magecart 注入的脚本旨在窃取消费者输入的在线支付表单的敏感数据,这些数据可能是直接在电商网站上输入的,也可能是通过这些网站使用的遭到入侵的第三方供应商输入的。最近,Magecart 作业人员通过对第三方功能的入侵,在 Ticketmaster 网站上放置了一个这样的数字盗卡器,导致了引人注目的 Ticketmaster 客户数据泄露。基于最近的证据,Magecart 现在将目光投向了英国最大的航空公司——英国航空公司。


数据泄露影响了 Web 浏览器和移动应用的信用卡交易,因为它们利用了相同的遭到破坏的源代码。对于第一次报吿的数据泄露事件,最初报吿的 38 万笔被泄露交易后来被英国航空公司减少到 24.4 万笔。


目前还不清楚第二次数据泄露的机制。据报道,数据泄露是在奖励机票预订时发生的,而在进行交易前是需要用户身份验证的。如此说来,在数据泄露期间查看源代码的公共存档并不是那么简单。


针对这种攻击的第一道防线是检测对基础设施的入侵。然而据报道,在这起事件中,英国航空公司并不知道有人入侵。下一道防线是验证生产 JavaScript 源代码没有被意外修改。一种解决方案是实现一个外部监控系统,该系统可以检测到对公开源代码的任何更改,并验证任何报告的更改是否是有意更改。此验证可以通过验证校验和自动实现。


最近,最终定稿的W3C子资源完整性标准(由 Edge、Chrome、Firefox 和 Safari 支持)也可能有助于防止此类攻击,特别是针对第三方脚本。然而,在英国航空公司被黑客攻击的情况下,攻击者可能还会更改加载了遭到破坏的 JavaScript 源代码的脚本标签中的完整性散列。


查看英文原文:British Airways Data Breach Conducted via Malicious JavaScript Injection


2018-11-15 07:101480
用户头像

发布了 1008 篇内容, 共 407.8 次阅读, 收获喜欢 346 次。

关注

评论 1 条评论

发布
用户头像
这种攻击得以完成的罪魁祸首是修改了英国航空公司网站的生产源代码。
---
想知道这是怎么做到的
2018-11-19 17:03
回复
没有更多了
发现更多内容

软件架构语录

烟雨濛濛

深入浅出kubernetes之WorkQueue详解

博文视点Broadview

Kubernetes 源码分析 k8s 队列 延迟队列

MySQL实战45讲笔记(1)

程序员老王

msyql

限频/限流的一些思考

i风语

Java redis 微服务 sentinel ratelimiter

势能造就下的互联网大厂程序员为什么去开滴滴了?

非著名程序员

程序员 程序人生 提升认知

那些会阻碍程序员成长的细节[3]

MavenTalker

程序员 职业规划 职业成长

iOS 动画 - 窗景篇(三·完结)

柯烂

ios swift 动画 移动互联网 动效

为什么建议你使用枚举?

王磊

Java 枚举

对直播带货的一点思考

Neco.W

直播 直播带货

融云年中大促钜惠来袭 IM+RTC 超值套餐最低6折起

Geek_116789

来了!8M/S+速度,Pdown复活!

程序员生活志

IM聊天教程:发送图片/视频/语音/表情

GoEasy消息推送

websocket 即时通讯 聊天室 聊天

【写作群星榜】6.20~6.26 写作平台优秀作者 & 文章排名

InfoQ写作社区官方

写作平台 排行榜 热门活动

了不起的 TypeScript 入门教程 [1.2 w字]

阿宝哥

Java typescript 大前端 Web

从0开始设计Flutter独立APP | 第二篇: 完整的国际化语言支持

渔子长

flutter 大前端

计算机操作系统基础(五)---Linux的进程管理

书旅

php 线程 多线程 操作系统 进程

区块链≠分布式账本,别再傻傻分不清

CECBC

区块链技术 高考 信息防篡改

架构师训练营第四周作业

烟雨濛濛

揭秘!中国人一定要知道的北斗卫星系统

程序那些事

北斗卫星 北斗系统 卫星定位 卫星授时 黑科技

玩转Java8中的 Stream 之从零认识 Stream

Java小咖秀

学习 面试 stream java8 经验

一群龙舟划手 “拍了拍” 你:端午节安康~

博睿数据

海阅优品致力打造新零售蓝海

Geek_116789

架构师训练营第四周学习总结

张明森

架构师训练营第四周作业

张明森

Dart vs Swift

柠檬水

swift dart

一二线城市知名 IT 互联网公司名单(新版)

程序员生活志

互联网 IT 大厂

创新管理体系标准ISO56002介绍

涛哥 数字产品和业务架构

数字化转型 创新

ARTS - Week 4

Khirye

ARTS 打卡计划 arts

MySQL系列 - SQL查询与修改执行过程

俊俊哥

MySQL 性能优化 关系型数据库 存储

重学 Java 设计模式:实战中介者模式「按照Mybatis原理手写ORM框架,给JDBC方式操作数据库增加中介者场景」

小傅哥

设计模式 小傅哥 代码优化 代码规范 中介者模式

告别静默式看房 融云音视频助力上海中原 App 上线 VR 带看服务

Geek_116789

恶意JavaScript注入导致英国航空公司发生重大数据泄露_安全_Dylan Schiemann_InfoQ精选文章