写点什么

恶意 JavaScript 注入导致英国航空公司发生重大数据泄露

  • 2018-11-15
  • 本文字数:1259 字

    阅读完需:约 4 分钟

恶意JavaScript注入导致英国航空公司发生重大数据泄露

今年,英国航空公司报吿了两次重大的数据泄露,初次报吿是在 9 月,涉及 8 月和 9 月的 24.4 万笔信用卡交易,进一步披露是在 10 月,涉及从 4 月到 7 月的另外 18.5 万笔交易。


位于旧金山的网络安全公司 RiskIQ 提供了一个详细的分析,英国航空公司安全漏洞的出现是通过恶意注入 JavaScript 源代码,并配置服务器基础设施,使其看上去和英国航空公司有关。


据 RiskIQ 报道,遭到破坏的源代码是英国航空公司使用的 Modernizr 和 jQuery,其中被注入了 22 行 JavaScript 源代码。不管是 Modernizr,还是 jQuery,并不是它们本身不安全,但是,添加到英国航空公司网站所用版本中的脚本,会在支付时从信用卡表单读取数据,除了会向英国航空公司的后端正确地发送数据外,它还会发送该数据的副本到“baways.com”,一个被认为是属于攻击者的网站。这种攻击得以完成的罪魁祸首是修改了英国航空公司网站的生产源代码。


RiskIQ 把安全入侵归罪于 Magecart,该团队还要为 Ticketmaster 和新蛋网的数据泄露负责:


自 2016 年以来,RiskIQ 就报道了由威胁集团 Magecart 运营的基于网络的“盗卡器(card skimmer)”的使用。传统上,犯罪分子使用被称为盗卡器的设备——隐藏在 ATM 机、油泵和其他供人们每天用信用卡支付的机器上的信用卡读卡器中——窃取信用卡数据,供犯罪分子后续收集,或者自己使用,或者卖给其他人。Magecart 使用了这些设备的数字变体。

Magecart 注入的脚本旨在窃取消费者输入的在线支付表单的敏感数据,这些数据可能是直接在电商网站上输入的,也可能是通过这些网站使用的遭到入侵的第三方供应商输入的。最近,Magecart 作业人员通过对第三方功能的入侵,在 Ticketmaster 网站上放置了一个这样的数字盗卡器,导致了引人注目的 Ticketmaster 客户数据泄露。基于最近的证据,Magecart 现在将目光投向了英国最大的航空公司——英国航空公司。


数据泄露影响了 Web 浏览器和移动应用的信用卡交易,因为它们利用了相同的遭到破坏的源代码。对于第一次报吿的数据泄露事件,最初报吿的 38 万笔被泄露交易后来被英国航空公司减少到 24.4 万笔。


目前还不清楚第二次数据泄露的机制。据报道,数据泄露是在奖励机票预订时发生的,而在进行交易前是需要用户身份验证的。如此说来,在数据泄露期间查看源代码的公共存档并不是那么简单。


针对这种攻击的第一道防线是检测对基础设施的入侵。然而据报道,在这起事件中,英国航空公司并不知道有人入侵。下一道防线是验证生产 JavaScript 源代码没有被意外修改。一种解决方案是实现一个外部监控系统,该系统可以检测到对公开源代码的任何更改,并验证任何报告的更改是否是有意更改。此验证可以通过验证校验和自动实现。


最近,最终定稿的W3C子资源完整性标准(由 Edge、Chrome、Firefox 和 Safari 支持)也可能有助于防止此类攻击,特别是针对第三方脚本。然而,在英国航空公司被黑客攻击的情况下,攻击者可能还会更改加载了遭到破坏的 JavaScript 源代码的脚本标签中的完整性散列。


查看英文原文:British Airways Data Breach Conducted via Malicious JavaScript Injection


2018-11-15 07:101418
用户头像

发布了 1008 篇内容, 共 395.3 次阅读, 收获喜欢 345 次。

关注

评论 1 条评论

发布
用户头像
这种攻击得以完成的罪魁祸首是修改了英国航空公司网站的生产源代码。
---
想知道这是怎么做到的
2018-11-19 17:03
回复
没有更多了
发现更多内容

打破联接壁垒,华为云IoT到底强在哪?

华为云开发者联盟

云计算 后端 物联网 华为云 企业号九月金秋榜

老生常谈!数据库如何存储时间?你真的知道吗?

小小怪下士

Java 数据库 编程 程序员

一个代码仓库(免费)与技术点 的故事

八点半的Bruce.D

GitHub Linux 网络服务 GitHub仓库

软件测试 | 测试开发 | 解决 App 自动化测试的常见痛点(弹框及首页启动加载完成判断处理)

测吧(北京)科技有限公司

测试

元宇宙场景技术实践|虚拟直播间搭建教程

ZEGO即构

音视频开发 元宇宙 虚拟直播

软件测试 | 测试开发 | 谁懂这篇文,玩游戏还会卡顿?

测吧(北京)科技有限公司

测试

感觉最近vue相关面试题回答的不好,那就总结一下吧

bb_xiaxia1998

Vue 前端

高精度的“文件转换excel”背后藏着这些解题思路!

合合技术团队

人工智能 表格识别

软件测试 | 测试开发 | 背熟这些 Docker 命令,面试再也不怕啦~

测吧(北京)科技有限公司

测试

爆肝整理5000字!HTAP的关键技术有哪些?| StoneDB学术分享会#3

StoneDB

数据库 HTAP StoneDB 企业号九月金秋榜 9月月更

模块一

早安

极客时间架构训练营

从近期欧美法规看软件供应链安全趋势

墨菲安全

软件供应链安全 开源安全与治理

腾讯云,DevOps 领导者!

CODING DevOps

腾讯云 DevOps IDC CODING

2022最新腾讯面经分享:Java 面试刷题 PDF(17 大专题 )

Java-fenn

Java 编程 程序员 面试 java面试

HarmonyOS助力构建“食用菌智慧农场”

HarmonyOS开发者

HarmonyOS

云图说丨DDoS防护解决方案:DDoS大流量攻击防得住

华为云开发者联盟

云计算 后端 华为云 企业号九月金秋榜

ESP32-C3入门教程 基础篇(八、NVS — 非易失性存储库的使用)

矜辰所致

ESP32-C3 9月月更 NVS

智能电饭煲

OpenHarmony开发者

OpenHarmony

TiDB+TiSpark部署--安装,扩缩容及升级操作

TiDB 社区干货传送门

安装 & 部署

软件测试 | 测试开发 | app自动化测试之Andriod微信小程序的自动化测试

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | app自动化测试之Appium 源码修改定制分析

测吧(北京)科技有限公司

测试

2.69分钟完成BERT训练!新发CANN 5.0加持

华为云开发者联盟

人工智能 企业号九月金秋榜

蓝海变红海,NFT 的未来在哪里

TinTinLand

区块链 创业 web3 NFT生态链游

9月《中国数据库行业分析报告》重磅发布!关键词:软硬兼施,创新融合

墨天轮

数据库 oracle cpu 硬件 国产数据库

分享一个研发工作优先级的计算公式 | Liga译文

LigaAI

Scrum 产品经理 敏捷开发 产品优先级 企业号九月金秋榜

2022年面试复盘大全500道:Redis+ZK+Nginx+数据库+分布式+微服务

小小怪下士

数据库 redis 分布式 微服务 java面试

作为一个菜鸟前端开发,面了20+公司之后整理的面试题

beifeng1996

前端 React

EasyCV带你复现更好更快的自监督算法-FastConvMAE

阿里云大数据AI技术

深度学习 算法 计算机视觉

开发者问第四期|统一扫码服务、机器学习服务等问题解答

HarmonyOS SDK

中国DevOps平台市场,华为云再次位居领导者位置

华为云开发者联盟

云计算 华为云 企业号九月金秋榜

基于云原生技术打造全球融合通信网关

阿里云CloudImagine

云原生 网络 通信 通信云

恶意JavaScript注入导致英国航空公司发生重大数据泄露_安全_Dylan Schiemann_InfoQ精选文章