La scorsa settimana la British Airways ha annunciato il furto di dati dei propri clienti sia dal proprio sito web sia dalla app mobile. Il furto di dati riguarda tutti gli utenti che hanno prenotato un volo, sia dal sito sia via app, nei giorni compresi tra il 21 Agosto e il 5 di Settembre. Tra i dati sottratti figurano quelli personali e finanziari dei clienti, mentre sembrano essere rimasti al sicuro i dati legati ai viaggio prenotati o compiuti e le informazioni attinenti al passaporto. 

 

"Stiamo contattando direttamente tutti i clienti riguardati da questo incidente per avvisarli di cosa è successo e invitarli a contattare le proprie banche o i fornitori delle carte di credito e seguire i loro consigli per ridurre al minimo potenziali danni economici", spiegava la British Airways qualche giorno fa in un post pubblico. 

Tutte le operazioni tramite sito o app hanno continuato a svolgersi normalmente, ma è stato consigliato a tutti i clienti di modificare le password, scegliendone una unica (cioè non uguale a quella in uso su altri account) e solida. 

 

Quando British Airways ha dato notizia pubblica del data breach le indagini per accertare i fatti erano già in corso. I sospetti, data la modalità operativa dell'attacco, si sono rivolti subito verso il gruppo di cyber criminali MageCart, specializzato nello skimming (tecnica di clonazione delle carte di credito). Le indagini hanno accertato effettivamente la paternità dell'attacco, che però, al contrario della modalità operativa solita di questo gruppo, è risultato essere mirato. 

 

Il gruppo ha usato infatti una serie di strumenti di scansione specializzati per individuare gli script del sito web, quindi ha nascosto il codice dannoso nella sezione finale di un componente legittimo: l'attacco è quindi passato del tutto inosservato. Se ne è avuto consapevolezza solo quando i ricercatori di sicurezza hanno verificato, tra tutti gli script caricati sul sito web della compagnia aerea, quelli modificati recentemente. 

 

 

Si è così scoperto che la libreria JavaScript Modernizr aveva subito una modifica, con l'aggiunta nella parte finale, di ben 22 nuove linee di codice: una tecnica che viene usata per non compromettere le funzionalità dello script stesso. Queste 22 righe hanno consentito agli attaccanti di intercettare i dati presenti nella pagina web al momento del pagamento e trasmetterli ad un server sotto il loro controllo. La modifica è avvenuta in data 21 Agosto, ore 20.49 GMT. La stessa modifica è stata apportata anche ad una precisa pagina della versione mobile del sito, che viene caricata dall'app di British Airways quando un utente visualizza le informazioni sulle tariffe e sugli aeroporti. 

 

Ulteriori prove hanno indicato che l'attacco era stato ben preparato per durare più a lungo possibile e ciò è comprovato dall'infrastruttura usata per l'esfiltrazione dei dati di pagamento delle carte di credito. Ad esempio lo script Modernizr compromesso ha inviato tutti i dati a baways[.]com, che assomiglia non poco al legittimo dominio usato da British Airways e che difficilmente solleverebbe sospetti in caso di rapido sguardo alla libreria modificata.

 

Oltre a ciò si è scoperto che MageCart ha acquistato un certificato SSL da Comodo, piuttosto che usare ad esempio la libreria scelta da Let's Encrypt. Effettivamente un certificato pagato ha meno probabilità di attirare l'attenzione di una scelta free.