Gabriela González
La semana pasada nos entramos de que un grupo de hackers había robado datos financieros y personales de 380.000 clientes de British Airways, la famosa aerolínea de Reino Unido, comprometiendo información sumamente sensible como números de tarjetas de crédito, fechas de caducidad y códigos de seguridad.
Y ahora sabemos que esta hazaña tampoco fue demasiado difícil para los ciberdelincuentes, puesto que según la firma de seguridad RiskIQ, estos solo necesitaron escribir 22 líneas de código para hacerse con los datos.
El grupo detrás del ataque es uno que se hace llamar "Magecart", los mismos detrás del hackeo a Ticketmaster (incluida la página de Ticketmaster España) en el que posiblemente se filtraron casi el 5% de la base de datos global de sus clientes.
La forma en la que trabaja Magecart es inyectando scripts maliciosos en los formularios de compra, y esta vez, para el hackeo a British Airways, lo que hicieron fue modificar una librería javascript en el sitio web de la aerolínea, uno que detecta acciones del usuario como los clicks.
El código modificado por Magecart enviaba esa información a los servidores de los hackers tan pronto como el usuario presionaba el botón "enviar" en el formulario de pago. Así obtuvieron nombres, direcciones, y teléfonos, desde el sitio web y desde la app móvil. Esa modificación de código solo requirió 22 líneas.
Cosas como estas hacen que se cuestionen ampliamente las prácticas de seguridad de muchos sitios que manejan información sensible de cientos de miles de usuarios, British Airways incluso está enfrentando una posible demanda por la brecha, y ahora con esta información, queda en evidencia que los encargados de la seguridad de la web de la aerolínea no fueron capaces de detectar el cambio de código en sus servidores, permitiendo que los hackers pudiesen hacer todo esto sin ser detectados.
Vía | The Next Web
En Genbeta | Cuando incluyes una memoria USB en tu producto y llega a los usuarios infectada con malware de fábrica
Ver 5 comentarios
5 comentarios
nino
Una pequeña broma...
Yo "solo" necesité unos años de vida escolar con "Lengua española" de asignatura para escribir bien "líneas"
No te enfades conmigo Gabriela... 😛😛😛
careuno_1
22 lineas es lo menos, lo difícil es acceder al cdn que contenía el script y modificarlo.
eltoloco
El artículo es sensacionalista. Las 22 líneas de código son lo de menos, lo difícil es conseguir modificar el script, lo cual implica o romper el cifrado de https (Lo cual no es trivial, y de hecho no es lo que ha ocurrido) o entrar de una forma u otra en el servidor que alberga el script para modificarlo, que parece que ha sido lo que ha ocurrido en este caso. No se sabe si de forma legítima (Hacking social, como tener un contacto que tenga acceso al servidor o adivinar la contraseña) o ilegítima, aprovechando fallos de seguridad.
Además de que las 22 líneas de código sólo son los cambios en el script de envío del formulario (Añadir una simple petición POST con el envío de los datos), hay que tener en cuenta también todo el código necesario para recibir y almacenar la información en el servidor de los hackers. Lo cual tampoco es complicado, en concreto recibir los datos y guardarlos en una base de datos, pero ya serán cien líneas más fácilmente, sin contar librerías de conexión a base de datos y demás.