home Actualités Internet Divers

British Airways : Magecart suspecté du vol des données bancaires

Le par Jérôme G.  |  1 commentaire(s)
British-Airways

Ce ne sont pas les concluions de l'enquête officielle mais les suppositions d'une entreprise de cybersécurité qui a sa petite idée sur le mode opératoire et le groupe à l'origine du vol de données bancaires via le site de British Airways.

La semaine dernière, British Airways a informé de la compromission d'informations personnelles (noms, adresses de facturation, adresses mail) et données de cartes bancaires de clients ayant effectué des réservations sur ba.com ou son application mobile entre le 21 août 2018 à 21h58 et le 5 septembre 2018 à 20h45.

Aux alentours de 380 000 clients sont concernés. La compagnie aérienne s'est engagée à indemniser les clients qui auront effectivement été touchés par ce qui a été présenté comme une activité criminelle. Alors que l'enquête suit son cours, l'entreprise de cybersécurité RiskIQ soupçonne un groupe dénommé Magecart.

Après l'analyse des pages web de British Airways, RiskIQ a découvert l'injection d'une vingtaine de lignes de code JavaScript suspectes avec un chargement depuis la page d'information sur la récupération de bagages. Ce script enregistrait les événements de clic avec la souris ou d'appui sur un écran tactile.

" Cela signifie qu'une fois qu'un utilisateur clique sur le bouton pour soumettre son paiement sur le site compromis de British Airways, les informations du formulaire de paiement sont extraites avec son nom et envoyées au serveur de l'attaquant ", écrit RiskIQ qui souligne que l'application mobile de British Airways charge des pages web de son site officiel.

Dans un format de données JSON, les données extraites auraient été envoyées vers une URL baways.com (dont le nom évoque grossièrement British Arways) qui était hébergée en Roumanie et seulement enregistrée à la mi-août.

Évidemment, la question se pose de savoir comment le code malveillant a été injecté dans le site de British Airways, ce qui laisse supposer un accès côté serveur à l'infrastructure de la compagnie aérienne. Les attaquants auraient en tout cas fait l'acquisition d'un certificat SSL pour tromper les navigateurs web.

Pour RiskIQ, tout ceci fait penser aux activités d'un groupe dénommé Magecart spécialisé dans le vol et la revente de numéros de cartes de paiement, dont l'entreprise de cybersécurité suit les activités.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
TheSky offline Hors ligne Héroïque avatar 991 points
Le #2031089
Pas la peine d'avoir accès aux serveurs pour injecter du script, voir les attaques de type XSS ...
Répondre en citant Masquer alerte
icone Suivre les commentaires
Poster un commentaire
avatar
Anonyme
Anonyme avatar
Se connecter pour poster un commentaire