380.000 record relativi a carte di credito e metodi di pagamento sottratti nel corso di quasi tre settimane, più precisamente dalle ore 22:58 BST del 21 agosto alle 21:45 BST del 5 settembre. Questo l’esito dell’attacco che dalla seconda metà del mese scorso ha preso di mira il sito Web e l’applicazione mobile di British Airways, scoperto e reso noto solo nei giorni scorsi, confermato dalla compagni aerea. Il tutto mediante l’azione di un malware installato dai responsabili diversi mesi fa.
È opera di Magecart?
Secondo il ricercatore Yonathan Klijnsma di RiskIQ dietro la pratica si celerebbe il gruppo Magecart, lo stesso che a fine giugno ha sottratto informazioni anche alla piattaforma Ticketmaster con una tecnica del tutto simile. L’attacco a British Airways farebbe dunque parte di una campagna più ampia, portata avanti con strumenti sempre più evoluti e in grado di colpire i bersagli in modo preciso, quasi chirurgico. Il codice delegato a intercettare le informazioni per poi inviarle a un server ospitato in Romania è stato scritto tenendo in considerazione le peculiarità del sistema utilizzato dalla compagnia britannica.
Questo attacco è caratterizzato da un approccio altamente targettizzato rispetto a quelli utilizzati da Magecart in passato che sottraevano in modo indiscriminato interi form. È strutturato in modo attento sulla base della pagina impiegata da British Airways per gestire i pagamenti.
Attacco mirato
Ciò spiega perché siano state interessate solo ed esclusivamente le informazioni finanziarie dei clienti (nome, indirizzo di fatturazione, email e dettagli sulle carte di credito) e non i dati relativi a passaporto o destinazioni di viaggio, con tutta probabilità ritenuti di scarso interesse. Al momento non è dato a sapere se i clienti rimasti coinvolti loro malgrado nell’attacco abbiano segnalato o meno transazioni sospette sui loro conti.
Inside the Magecart Breach of British Airways: How 22 Lines of Code Claimed 380,000 Victims https://t.co/DAFfIPa4eF
— Yonathan Klijnsma (@ydklijnsma) September 11, 2018
La redazione del sito TechCrunch ha interpellato l’azienda per ottenere un feedback sull’ipotesi formulata da Klijnsma, ottenendo in risposta il più classico dei “no comment” poiché il gruppo sta al momento conducendo un’indagine interna al fine di chiarire l’accaduto.