22行JavaScript！把英国航空闹了个天翻地覆

英国航空公司(British Airways)在其网站和移动应用程序的客户数据被盗，从当地时间8月21日晚上10点58分至9月5日晚上9点45分，在其网站或应用程序上进行预订的乘客的个人和财务信息已被泄露。大约有38万张支付卡被盗。

该航空公司表示，被盗数据不包括旅行或护照详细信息。虽然该航空公司当时表示正在与受影响的客户联系，同时它也建议任何认为可能受到影响的客户“联系他们的银行或信用卡提供商并按照他们提供的建议进行操作。”

“我们对这次犯罪活动造成的破坏深感抱歉。我们非常重视保护客户的数据，”首席执行官亚历克斯-克鲁兹说。

该航空公司表示，它已将有关违规情况通知警方，并“将在适当的时候披露最新进展。”随后，作为紧急事件，航空公司调查了这起安全漏洞。该公司表示，这一漏洞已得到解决，该网站目前正在正常运行。

日前，根据RiskIQ的报告，英国航空公司遭遇的数据泄露事件暴露了大约38万客户的支付卡详细信息的事件，似乎是Magecart网络犯罪集团的杰作。在对黑客事件进行内部调查后，英国航空公司披露他们的移动应用程序及其网站受到影响，所有付款在8月21日至9月5日期间的付款客户受到影响。

英国航空公司报告提到他们的其他服务，服务器或数据库都没有受到影响，这导致安全研究团队得出结论，支付服务是数据泄露的唯一罪魁祸首，这是Magecart熟知的专业领域。众所周知，这些骗子使用基于网络的卡片撇取器作为窃取信用卡支付数据的手段，这是经典的卡片撇取器的在线版本。

在深入研究英国航空公司网站内网络犯罪分子注入的代码之后，RiskIQ研究人员发现仅有22行JavaScript代码是英国航空公司受该黑客攻击，导致38万名客户数据被盗的罪魁祸首。

英国航空公司移动应用程序也受到改变的Modernizr JavaScript库的影响，因为它调用了网站使用的相同脚本资源，以允许客户进行付款。

研究人员表示，这次攻击再次向我们展示了黑客的高水平的规划和对细节的关注，这次攻击简单有效。研究人员还发现，所有被盗数据都被发送到位于罗马尼亚的服务器上的baways.com域，其IP地址为89.47.162.248，由立陶宛VPS（虚拟专用服务器）提供商Time4VPS提供。

此外，为了使baways.com域更可信，骗子使用了由COMODO CA发行的付费SSL证书，而不是购买免费的LetsEncrypt版本。

最近英国航空公司的数据泄露事件表明，Magecart威胁行动者仍然是一个非常活跃的犯罪集团，据称他们已经在2015年开始活动并成功攻击了Ticketmaster和Inbenta等目标。

参考：cnBeta.COM《仅有22行的Java脚本让38万英国航空客户成为受害者》

喜欢就分享一下吧~

文章投稿、商务合作、广告投放