Actualités Internet Divers

British Airways : Magecart suspecté du vol des données bancaires

Le mercredi 12 Septembre 2018 à 12:10 par Jérôme G. | 1 commentaire(s)

Ce ne sont pas les concluions de l'enquête officielle mais les suppositions d'une entreprise de cybersécurité qui a sa petite idée sur le mode opératoire et le groupe à l'origine du vol de données bancaires via le site de British Airways.

La semaine dernière, British Airways a informé de la compromission d'informations personnelles (noms, adresses de facturation, adresses mail) et données de cartes bancaires de clients ayant effectué des réservations sur ba.com ou son application mobile entre le 21 août 2018 à 21h58 et le 5 septembre 2018 à 20h45.

Aux alentours de 380 000 clients sont concernés. La compagnie aérienne s'est engagée à indemniser les clients qui auront effectivement été touchés par ce qui a été présenté comme une activité criminelle. Alors que l'enquête suit son cours, l'entreprise de cybersécurité RiskIQ soupçonne un groupe dénommé Magecart.

In our latest blog, @ydklijnsma shows how 22 lines of code helped #Magecart claim 380,000 victims in its attack on British Airways. https://t.co/ud5tfnsCc3 pic.twitter.com/HMGwghu7hd
— RiskIQ (@RiskIQ) 11 septembre 2018

Après l'analyse des pages web de British Airways, RiskIQ a découvert l'injection d'une vingtaine de lignes de code JavaScript suspectes avec un chargement depuis la page d'information sur la récupération de bagages. Ce script enregistrait les événements de clic avec la souris ou d'appui sur un écran tactile.

" Cela signifie qu'une fois qu'un utilisateur clique sur le bouton pour soumettre son paiement sur le site compromis de British Airways, les informations du formulaire de paiement sont extraites avec son nom et envoyées au serveur de l'attaquant ", écrit RiskIQ qui souligne que l'application mobile de British Airways charge des pages web de son site officiel.

Dans un format de données JSON, les données extraites auraient été envoyées vers une URL baways.com (dont le nom évoque grossièrement British Arways) qui était hébergée en Roumanie et seulement enregistrée à la mi-août.

Évidemment, la question se pose de savoir comment le code malveillant a été injecté dans le site de British Airways, ce qui laisse supposer un accès côté serveur à l'infrastructure de la compagnie aérienne. Les attaquants auraient en tout cas fait l'acquisition d'un certificat SSL pour tromper les navigateurs web.

Pour RiskIQ, tout ceci fait penser aux activités d'un groupe dénommé Magecart spécialisé dans le vol et la revente de numéros de cartes de paiement, dont l'entreprise de cybersécurité suit les activités.

Complément d'information

Piratage de British Airways : c'est pire que d'abord annoncé

Un lot supplémentaire de 185 000 cartes de paiement vient s'ajouter pour la cyberattaque de British Airways, même si l'estimation initiale a été revue à la baisse.
British Airways victime d'un vol de données de clients

Une fuite massive de données pour British Airways qui affecte les données de paiement de potentiellement 380 000 clients.