Согласно сообщению, выполненному компанией Magecart, нарушение данных, понесенное British Airways, которая сообщила данные платежной карты приблизительно клиентов 380.000, является работой команды Magecart. RiskIQ.
После внутреннего расследования инцидента с пиратством British Airways выяснили, что мобильное приложение и их веб-сайт были взломаны с 21 с августа по сентябрь 5.
RiskIQ нашел группу Magecart осуществил атаку после того, как BA сообщил, что ни один из их других сервисов, серверов или баз данных не пострадал.
Это привело исследовательскую группу к выводу, что платежная служба была ответственна за утечку данных, область, которую команда Magecart знает достаточно хорошо.
Мошенники, как известно, используют сетевые скиммеры для карточек как средство кражи данных о платежах по кредитным картам.
RiskIQ обнаружил, что инкриминирующий элемент в одном из различных сценариев 50 на основе JavaScript, используемых для запуска веб-сайта British Airways, то есть в библиотеке Modernizr, был тайно удален в конце содержимого по умолчанию, чтобы избежать обнаружения.
Еще одним очевидным доказательством того, что хакеры нарушили файл библиотеки JavaScript, была разница в метке времени с оригинальной, нетронутой версией с декабрьской отметкой 2012, в то время как версия, которая изменила Magecart, восходит к августу 21, то есть периоду нарушения данных.
На реализацию BA также повлияла модифицированная библиотека Modernizr. JavaScriptпотому что он использовал те же ресурсы сценария, что и веб-сайт, чтобы клиенты могли совершать платежи.
Magecart
Он активируется 2015 и при успешном взломе данных как минимум двух заметных целей.
Исследователи также обнаружили, что все украденные данные отправляются нарушителями в домен baways.com на сервере, расположенном в Румынии с IP-адресом 89.47.162.248, но принадлежащим литовскому VPS (виртуальному частному серверу) под названием Time4VPS.
Кроме того, чтобы сделать домен baways.com более надежным, мошенники использовали SSL с платежом, выпущенным CA COMODO, вместо использования бесплатной версии LetsEncrypt, которая могла оставить некоторые следы, когда она была прикреплена к сайту British Airways. ,