British Airways : Magecart suspecté du vol des données bancaires

Ce ne sont pas les concluions de l'enquête officielle mais les suppositions d'une entreprise de cybersécurité qui a sa petite idée sur le mode opératoire et le groupe à l'origine du vol de données bancaires via le site de British Airways.
La semaine dernière, British Airways a informé de la compromission d'informations personnelles (noms, adresses de facturation, adresses mail) et données de cartes bancaires de clients ayant effectué des réservations sur ba.com ou son application mobile entre le 21 août 2018 à 21h58 et le 5 septembre 2018 à 20h45.
Aux alentours de 380 000 clients sont concernés. La compagnie aérienne s'est engagée à indemniser les clients qui auront effectivement été touchés par ce qui a été présenté comme une activité criminelle. Alors que l'enquête suit son cours, l'entreprise de cybersécurité RiskIQ soupçonne un groupe dénommé Magecart.
In our latest blog, @ydklijnsma shows how 22 lines of code helped #Magecart claim 380,000 victims in its attack on British Airways. https://t.co/ud5tfnsCc3 pic.twitter.com/HMGwghu7hd
— RiskIQ (@RiskIQ) 11 septembre 2018
Après l'analyse des pages web de British Airways, RiskIQ a découvert l'injection d'une vingtaine de lignes de code JavaScript suspectes avec un chargement depuis la page d'information sur la récupération de bagages. Ce script enregistrait les événements de clic avec la souris ou d'appui sur un écran tactile.
" Cela signifie qu'une fois qu'un utilisateur clique sur le bouton pour soumettre son paiement sur le site compromis de British Airways, les informations du formulaire de paiement sont extraites avec son nom et envoyées au serveur de l'attaquant ", écrit RiskIQ qui souligne que l'application mobile de British Airways charge des pages web de son site officiel.
Dans un format de données JSON, les données extraites auraient été envoyées vers une URL baways.com (dont le nom évoque grossièrement British Arways) qui était hébergée en Roumanie et seulement enregistrée à la mi-août.
Évidemment, la question se pose de savoir comment le code malveillant a été injecté dans le site de British Airways, ce qui laisse supposer un accès côté serveur à l'infrastructure de la compagnie aérienne. Les attaquants auraient en tout cas fait l'acquisition d'un certificat SSL pour tromper les navigateurs web.
Pour RiskIQ, tout ceci fait penser aux activités d'un groupe dénommé Magecart spécialisé dans le vol et la revente de numéros de cartes de paiement, dont l'entreprise de cybersécurité suit les activités.
-
Pour la fuite de données personnelles de 2018 qui avait été très médiatisée, British Airways règle à l'amiable une action de groupe intentée au Royaume-Uni.
-
British Airways écope d'une amende de 20 millions de livres pour la fuite de données de 2018. Une amende réduite en raison du contexte de la pandémie de coronavirus.
Vos commentaires