British Airways : Magecart suspecté du vol des données bancaires

Le par  |  1 commentaire(s)
British-Airways

Ce ne sont pas les concluions de l'enquête officielle mais les suppositions d'une entreprise de cybersécurité qui a sa petite idée sur le mode opératoire et le groupe à l'origine du vol de données bancaires via le site de British Airways.

La semaine dernière, British Airways a informé de la compromission d'informations personnelles (noms, adresses de facturation, adresses mail) et données de cartes bancaires de clients ayant effectué des réservations sur ba.com ou son application mobile entre le 21 août 2018 à 21h58 et le 5 septembre 2018 à 20h45.

Aux alentours de 380 000 clients sont concernés. La compagnie aérienne s'est engagée à indemniser les clients qui auront effectivement été touchés par ce qui a été présenté comme une activité criminelle. Alors que l'enquête suit son cours, l'entreprise de cybersécurité RiskIQ soupçonne un groupe dénommé Magecart.

Après l'analyse des pages web de British Airways, RiskIQ a découvert l'injection d'une vingtaine de lignes de code JavaScript suspectes avec un chargement depuis la page d'information sur la récupération de bagages. Ce script enregistrait les événements de clic avec la souris ou d'appui sur un écran tactile.

" Cela signifie qu'une fois qu'un utilisateur clique sur le bouton pour soumettre son paiement sur le site compromis de British Airways, les informations du formulaire de paiement sont extraites avec son nom et envoyées au serveur de l'attaquant ", écrit RiskIQ qui souligne que l'application mobile de British Airways charge des pages web de son site officiel.

Dans un format de données JSON, les données extraites auraient été envoyées vers une URL baways.com (dont le nom évoque grossièrement British Arways) qui était hébergée en Roumanie et seulement enregistrée à la mi-août.

Évidemment, la question se pose de savoir comment le code malveillant a été injecté dans le site de British Airways, ce qui laisse supposer un accès côté serveur à l'infrastructure de la compagnie aérienne. Les attaquants auraient en tout cas fait l'acquisition d'un certificat SSL pour tromper les navigateurs web.

Pour RiskIQ, tout ceci fait penser aux activités d'un groupe dénommé Magecart spécialisé dans le vol et la revente de numéros de cartes de paiement, dont l'entreprise de cybersécurité suit les activités.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2031089
Pas la peine d'avoir accès aux serveurs pour injecter du script, voir les attaques de type XSS ...
Suivre les commentaires
Poster un commentaire
Anonyme