British Airways werd gehackt door Magecart, de groep die ook Ticketmaster aanviel

Onderzoekers van British Airways hebben ontdekt dat de groep die kortgeleden een grote hack uitvoerde, dezelfde is die ook Ticketmaster aanviel. De Magecart-group is al sinds 2015 actief, toen deze voor het eerst ontdekt werd door onderzoekers van RisqIQ en ClearSky.

De groep valt regelmatig webwinkels aan en verstopt dan JavaScript-code om betaalinformatie te stelen, die gebruikers invoeren op de betaalpagina’s van de webwinkels. Denk daarbij aan creditcardnummers, namen, adressen en andere informatie die ze via de aanwezige formulieren invullen. Nu blijkt dat de groep ook British Airways aanviel.

380.000 gebruikers

Vorige week werd bekend gemaakt dat British Airways gehackt was en dat de creditcardgegevens van zo’n 380.000 gebruikers buitgemaakt waren. De Britse vliegtuigmaatschappij heeft geen technische details onthuld over de aanval, maar wel laten weten dat de aanvaller informatie buitmaakte over betalingen die via de hoofdsite, ba.com, en de mobiele app, buitgemaakt werden.

Tegelijk stellen de onderzoekers van RisqIQ dat de tijdperiode die British Airways gaf rond de hack, de voornaamste hint was die wees op Magecart. De experts van RisqIQ beschikken over een tool die elke zoveel tijd de broncode van sites opslaat. Zo kunnen ze ook zien wat voor JavaScript-code er op sites toegepast wordt en wanneer die gewijzigd is.

Het onderzoek

In het geval van de site van British Airways, bleek dat een bestand dat al sinds 2012 niet van wijzigingen voorzien was, in de loop van 21 augustus 2018 veranderd werd. Dat is de dag voordat de hack volgens de vliegmaatschappij plaatsvond. In dat bestand bleek een stukje code te zijn toegevoegd die interacties met het betaalformulier opslaat. Opvallend is dat de mobiele app ook meteen gehackt werd, wat volgens de onderzoekers van RisqIQ mogelijk was, doordat de betaalinterface van de ba.com-site direct in de mobiele app geladen wordt.

Magecart is al zo’n drie jaar actief. De hackersgroep heeft gegevens van duizenden websites buitgemaakt, waaronder een tijd geleden van Ticketmaster en vorige week bleek dus ook British Airways getroffen te zijn door de groep. Elk jaar weer wordt de groep actiever en worden grotere doelwitten aangevallen.