写点什么

恶意 JavaScript 注入导致英国航空公司发生重大数据泄露

  • 2018-11-15
  • 本文字数:1259 字

    阅读完需:约 4 分钟

恶意JavaScript注入导致英国航空公司发生重大数据泄露

今年,英国航空公司报吿了两次重大的数据泄露,初次报吿是在 9 月,涉及 8 月和 9 月的 24.4 万笔信用卡交易,进一步披露是在 10 月,涉及从 4 月到 7 月的另外 18.5 万笔交易。


位于旧金山的网络安全公司 RiskIQ 提供了一个详细的分析,英国航空公司安全漏洞的出现是通过恶意注入 JavaScript 源代码,并配置服务器基础设施,使其看上去和英国航空公司有关。


据 RiskIQ 报道,遭到破坏的源代码是英国航空公司使用的 Modernizr 和 jQuery,其中被注入了 22 行 JavaScript 源代码。不管是 Modernizr,还是 jQuery,并不是它们本身不安全,但是,添加到英国航空公司网站所用版本中的脚本,会在支付时从信用卡表单读取数据,除了会向英国航空公司的后端正确地发送数据外,它还会发送该数据的副本到“baways.com”,一个被认为是属于攻击者的网站。这种攻击得以完成的罪魁祸首是修改了英国航空公司网站的生产源代码。


RiskIQ 把安全入侵归罪于 Magecart,该团队还要为 Ticketmaster 和新蛋网的数据泄露负责:


自 2016 年以来,RiskIQ 就报道了由威胁集团 Magecart 运营的基于网络的“盗卡器(card skimmer)”的使用。传统上,犯罪分子使用被称为盗卡器的设备——隐藏在 ATM 机、油泵和其他供人们每天用信用卡支付的机器上的信用卡读卡器中——窃取信用卡数据,供犯罪分子后续收集,或者自己使用,或者卖给其他人。Magecart 使用了这些设备的数字变体。

Magecart 注入的脚本旨在窃取消费者输入的在线支付表单的敏感数据,这些数据可能是直接在电商网站上输入的,也可能是通过这些网站使用的遭到入侵的第三方供应商输入的。最近,Magecart 作业人员通过对第三方功能的入侵,在 Ticketmaster 网站上放置了一个这样的数字盗卡器,导致了引人注目的 Ticketmaster 客户数据泄露。基于最近的证据,Magecart 现在将目光投向了英国最大的航空公司——英国航空公司。


数据泄露影响了 Web 浏览器和移动应用的信用卡交易,因为它们利用了相同的遭到破坏的源代码。对于第一次报吿的数据泄露事件,最初报吿的 38 万笔被泄露交易后来被英国航空公司减少到 24.4 万笔。


目前还不清楚第二次数据泄露的机制。据报道,数据泄露是在奖励机票预订时发生的,而在进行交易前是需要用户身份验证的。如此说来,在数据泄露期间查看源代码的公共存档并不是那么简单。


针对这种攻击的第一道防线是检测对基础设施的入侵。然而据报道,在这起事件中,英国航空公司并不知道有人入侵。下一道防线是验证生产 JavaScript 源代码没有被意外修改。一种解决方案是实现一个外部监控系统,该系统可以检测到对公开源代码的任何更改,并验证任何报告的更改是否是有意更改。此验证可以通过验证校验和自动实现。


最近,最终定稿的W3C子资源完整性标准(由 Edge、Chrome、Firefox 和 Safari 支持)也可能有助于防止此类攻击,特别是针对第三方脚本。然而,在英国航空公司被黑客攻击的情况下,攻击者可能还会更改加载了遭到破坏的 JavaScript 源代码的脚本标签中的完整性散列。


查看英文原文:British Airways Data Breach Conducted via Malicious JavaScript Injection


2018-11-15 07:101374
用户头像

发布了 1008 篇内容, 共 390.9 次阅读, 收获喜欢 344 次。

关注

评论 1 条评论

发布
用户头像
这种攻击得以完成的罪魁祸首是修改了英国航空公司网站的生产源代码。
---
想知道这是怎么做到的
2018-11-19 17:03
回复
没有更多了
发现更多内容

企业数据现状分析:为什么需要实时数据?如何高效挖掘实时数据价值?

tapdata

Tapdata

2022 全球 AI 模型周报

Zilliz

人工智能 深度学习 计算机视觉

RT-Thread记录(十六、SFUD组件 — SPI Flash的读写)

矜辰所致

RT-Thread 8月月更 SFUD SPI设备

上游sql通过drainer同步到kafka时在kafka中是什么样子的

TiDB 社区干货传送门

实践案例 管理与运维 版本测评 大数据场景实践 实时数仓场景实践

TiFlash 表达式的实现与设计

TiDB 社区干货传送门

零基础学员如何参加大数据培训?

小谷哥

应用日志采集是什么意思?批量采集应用日志软件用哪个?怎么操作?

行云管家

日志采集 IT运维 行云管家 应用日志

OceanBase 亮相2022全国CIO大会,荣获“2022年度CIO信赖品牌”

OceanBase 数据库

TCP异常场景:三次握手四次挥手丢包情况解析

Java全栈架构师

程序员 面试 TCP 计算机网络 秋招

PCTP考试学习笔记之一:深入TIDB体系架构(下)

TiDB 社区干货传送门

TiDB 底层架构 管理与运维 TiDB 源码解读 TiKV 源码解读

HarmonyOS开发者创新大赛总决赛结果公布

HarmonyOS开发者

HarmonyOS

前端开发技术培训班靠谱吗

小谷哥

融云移动办公协同平台,助力政企数智化转型升级

融云 RongCloud

企业 即时通讯

我吐了!一个奇葩的线上问题,导致我排查了一天

Java永远的神

Java 程序员 面试 程序人生 后端

实战-记录一次大版本升级

TiDB 社区干货传送门

新版本/特性解读

数字化转型新CP:云原生+边缘计算 实践分享

York

容器 云原生 数字化转型 边缘计算 边云协同

去中心化交易所swap系统开发功能以及逻辑分析

开发微hkkf5566

java学习过程中要注意哪些方面?

小谷哥

swap去中心化交易所系统开发技术分析

开发微hkkf5566

参加java培训和自学技术有什么区别

小谷哥

SENSORO 智慧城市平台中的延时队列设计

SENSORO

大数据 物联网 智慧城市 延时队列

PCTP考试学习笔记之一:深入TIDB体系架构(上)

TiDB 社区干货传送门

管理与运维 TiDB 源码解读 TiKV 源码解读 TiKV 底层架构

了解“预训练-微调”,看这一篇就够了

博文视点Broadview

运维审计是什么意思?有什么作用?用什么软件好?

行云管家

运维 审计 IT运维 运维审计

大数据培训可以成为优秀工程师吗?

小谷哥

C/CPP基础练习题(一)运算符,判断

CtrlX

c c++ C# 8月月更

Bytebase 部署体验总结 & 评选结果

Bytebase

数据库 体验官

动态线程池的9个应用场景你见过几个?

程序员小毕

Java 程序员 面试 程序人生 线程池

pd-ctl 选项 --jq 格式化语法使用案例详解

TiDB 社区干货传送门

性能调优 实践案例 管理与运维 扩/缩容

多种姿势搞定Tidb集群监控大屏

TiDB 社区干货传送门

监控

什么是“根创新”?从公交支付用上国产数据库说起

OceanBase 数据库

恶意JavaScript注入导致英国航空公司发生重大数据泄露_安全_Dylan Schiemann_InfoQ精选文章