写点什么

恶意 JavaScript 注入导致英国航空公司发生重大数据泄露

  • 2018-11-15
  • 本文字数:1259 字

    阅读完需:约 4 分钟

恶意JavaScript注入导致英国航空公司发生重大数据泄露

今年,英国航空公司报吿了两次重大的数据泄露,初次报吿是在 9 月,涉及 8 月和 9 月的 24.4 万笔信用卡交易,进一步披露是在 10 月,涉及从 4 月到 7 月的另外 18.5 万笔交易。


位于旧金山的网络安全公司 RiskIQ 提供了一个详细的分析,英国航空公司安全漏洞的出现是通过恶意注入 JavaScript 源代码,并配置服务器基础设施,使其看上去和英国航空公司有关。


据 RiskIQ 报道,遭到破坏的源代码是英国航空公司使用的 Modernizr 和 jQuery,其中被注入了 22 行 JavaScript 源代码。不管是 Modernizr,还是 jQuery,并不是它们本身不安全,但是,添加到英国航空公司网站所用版本中的脚本,会在支付时从信用卡表单读取数据,除了会向英国航空公司的后端正确地发送数据外,它还会发送该数据的副本到“baways.com”,一个被认为是属于攻击者的网站。这种攻击得以完成的罪魁祸首是修改了英国航空公司网站的生产源代码。


RiskIQ 把安全入侵归罪于 Magecart,该团队还要为 Ticketmaster 和新蛋网的数据泄露负责:


自 2016 年以来,RiskIQ 就报道了由威胁集团 Magecart 运营的基于网络的“盗卡器(card skimmer)”的使用。传统上,犯罪分子使用被称为盗卡器的设备——隐藏在 ATM 机、油泵和其他供人们每天用信用卡支付的机器上的信用卡读卡器中——窃取信用卡数据,供犯罪分子后续收集,或者自己使用,或者卖给其他人。Magecart 使用了这些设备的数字变体。

Magecart 注入的脚本旨在窃取消费者输入的在线支付表单的敏感数据,这些数据可能是直接在电商网站上输入的,也可能是通过这些网站使用的遭到入侵的第三方供应商输入的。最近,Magecart 作业人员通过对第三方功能的入侵,在 Ticketmaster 网站上放置了一个这样的数字盗卡器,导致了引人注目的 Ticketmaster 客户数据泄露。基于最近的证据,Magecart 现在将目光投向了英国最大的航空公司——英国航空公司。


数据泄露影响了 Web 浏览器和移动应用的信用卡交易,因为它们利用了相同的遭到破坏的源代码。对于第一次报吿的数据泄露事件,最初报吿的 38 万笔被泄露交易后来被英国航空公司减少到 24.4 万笔。


目前还不清楚第二次数据泄露的机制。据报道,数据泄露是在奖励机票预订时发生的,而在进行交易前是需要用户身份验证的。如此说来,在数据泄露期间查看源代码的公共存档并不是那么简单。


针对这种攻击的第一道防线是检测对基础设施的入侵。然而据报道,在这起事件中,英国航空公司并不知道有人入侵。下一道防线是验证生产 JavaScript 源代码没有被意外修改。一种解决方案是实现一个外部监控系统,该系统可以检测到对公开源代码的任何更改,并验证任何报告的更改是否是有意更改。此验证可以通过验证校验和自动实现。


最近,最终定稿的W3C子资源完整性标准(由 Edge、Chrome、Firefox 和 Safari 支持)也可能有助于防止此类攻击,特别是针对第三方脚本。然而,在英国航空公司被黑客攻击的情况下,攻击者可能还会更改加载了遭到破坏的 JavaScript 源代码的脚本标签中的完整性散列。


查看英文原文:British Airways Data Breach Conducted via Malicious JavaScript Injection


2018-11-15 07:101512
用户头像

发布了 1008 篇内容, 共 411.4 次阅读, 收获喜欢 346 次。

关注

评论 1 条评论

发布
用户头像
这种攻击得以完成的罪魁祸首是修改了英国航空公司网站的生产源代码。
---
想知道这是怎么做到的
2018-11-19 17:03
回复
没有更多了
发现更多内容

“退微信群”谣言背后:总有人用阴谋论湮没常识

脑极体

Flutter 中的一切都是一个小部件【Flutter专题5】

坚果

flutter 签约计划第二季

owasp zap 暴力破解测试

喀拉峻

网络安全 安全 信息安全

为什么要做漏洞扫描呢?

华为云开发者联盟

安全 风险 漏洞 漏洞扫描 安全认证

数据网格简史

俞凡

架构 数据

写代码的思路

king

Alibaba5轮视频面:同事+组长+主管+项目+HR,收割Java岗offer

热爱java的分享家

Java 面试 程序人生 编程语言 经验分享

react源码解析2.react的设计理念

buchila11

React React Hooks

智慧警务系统开发,警务通app搭建

电微13828808271

系统架构性能优化思路

五分钟学大数据

11月日更

比较 Flutter 日期选择器库【Flutter专题6】

坚果

flutter 签约计划第二季

质量基础设施“一站式”平台,NQI一站式云平台开发

电微13828808271

46道史上最全Redis面试题,面试官能问的都被我找到了(含答案)

热爱java的分享家

Java 架构 程序人生 编程语言 经验分享

大专毕业的我狂刷29天“阿里内部面试笔记”最终直接斩获十七个Offer

热爱java的分享家

Java 面试 程序人生 编程语言 经验分享

微博评论高性能高可用的设计

云里雾花

精选2021年大厂高频Java面试真题集锦(含答案),面试一路开挂

热爱java的分享家

Java 架构 面试 程序人生 经验分享

不愧是阿里p8大佬!终于把Java 虚拟机底层原理讲清楚了,请签收

热爱java的分享家

Java 面试 程序人生 编程语言 经验分享

五面阿里拿下飞猪事业部offer,2021新鲜出炉阿里巴巴面试真题

热爱java的分享家

Java 面试 程序人生 编程语言 经验分享

5年crud经验,三个月啃透888页Java王者级核心宝典,竟翻身阿里p6

热爱java的分享家

Java 架构 程序人生 编程语言 经验分享

Go语言学习查缺补漏ing Day9

Regan Yue

Go 语言 11月日更

掌握这些核心算法,拿不到10个offer你来找我,我锤你个不争气的

热爱java的分享家

Java 架构 程序人生 编程语言 经验分享

技术解析+代码实战,带你入门华为云政务区块链平台

华为云开发者联盟

区块链 华为云 政务 Baas 异构链

Hadoop 企业级生产调优手册 (二)

大数据技术指南

11月日更

深入了解Netty原理篇

邱学喆

Netty

网络安全是一门高级学科,如何入门,看这里!

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 安全漏洞

模块六作业

bob

「架构实战营」

GitHub标星139K的:“嵌入式Linux系统开发教程”

热爱java的分享家

Java 架构 程序人生 编程语言 经验分享

DDD与CQRS的关系

Bruce Talk

领域驱动设计 DDD

Python 可以满足你任何 API 使用需求

华为云开发者联盟

Python API 程序 网络通信 公共数据

基于实践:一套百万消息量小规模IM系统技术要点总结

JackJiang

网络编程 架构设计 即时通讯 IM

六年Java老鸟,写给1-3年程序员的几点建议,满满硬货指导

热爱java的分享家

Java 架构 面试 程序人生 编程语言

恶意JavaScript注入导致英国航空公司发生重大数据泄露_安全_Dylan Schiemann_InfoQ精选文章