Eksperter: Sådan blev British Airways hacket og kundedata stjålet

Illustration: Nick Morrish/British Airways
Eksperter giver deres bud på, hvordan kreditkortoplysninger fra 380.000 transaktioner blev stjålet fra flyselskabet British Airways.

Hackere angreb det britiske flyselskab British Airways’ hjemmeside og stjal oplysninger om 380.000 transaktioner mellem den 21. august og den 5. september.

Hackerne stjal blandt andet navne, e-mailadresser og kreditkortoplysninger med både kortnumre, udløbsdatoer og de trecifrede CVV-koder.

Flyselskabet har ikke sagt, hvordan angrebet kunne finde sted, men to eksperter har nogle gæt, skriver BBC.

Ifølge professor på University of Surrey og cybersecurity-ekspert Alan Woodward blev oplysningerne stjålet ved point of entry. Han mener, at hackerne placerede et ondsindet script på flyselskabets hjemmeside eller app, som udtrak de følsomme oplysninger og sendte dem videre.

Læs også: Nets advarer: Udskift kreditkort hvis du er ramt af kritisk angreb på British Airways

Han kalder det et »supply chain-angreb« og fortæller, at det er et stigende sikkerhedsproblem for hjemmesider, der bruger indlejret kode fra tredjemandspartnere - eksempelvis i forbindelse med betalingsautorisation eller reklamer. Han understreger dog, at angrebet også sagtens kan være sket ved, at en ansat i British Airways har ændret koden.

Robert Pritchard, som har stiftet firmaet »The Cyber Security Expert« og er tidligere ansat i Storbritanniens agentur for signalefterretning, mener også, at det er sandsynligt, at kundedataene er blevet udtrukket live.

Det mener han, fordi CVV-koder ikke må gemmes af virksomheder - de bruges kun i selve det øjeblik, betalingen sker.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Schmidt

Nu er det som anført kun et gæt, hvordan sitet er blevet hacket. Men det lyder plausibelt.

Jeg kan se, at British Airways' website benytter Google Tag Manager. Det er et system, der gør det lettere at indsætte kode til trackere til statistik og marketing (Google Analytics, Google AdWords osv.).

Hvilket problem løser Google Tag Manager? Ofte er det virksomhedens marketingafdeling, der har behov for at indsætte disse trackere. Og mange steder er det sikkert bøvlet, hvis man skal have de overbebyrdede og gnavne folk fra it-afdelingen ind over, hver gang man skal køre en ny annoncekampagne. Så vupti, man implementerer da bare et system, hvor ikke-teknikere kan sætte kode i produktion uden om den sædvanlige versionsstyring og kvalitetssikring. Med lidt held opdager virksomhedens dataansvarlige det heller ikke, så man undgår at skulle bøvle med GDPR, samtykke osv.

Min bank benytter også Google Tag Manager i deres netbank. Det synes jeg faktisk er bekymrende.

Bare fordi man bruger Google Tag Manager, er det selvfølgelig ikke givet, at man sjusker med sikkerheden. Men faldgruben er der.

  • 12
  • 0
Robert Winther

Så vupti, man implementerer da bare et system, hvor ikke-teknikere kan sætte kode i produktion uden om den sædvanlige versionsstyring og kvalitetssikring.

Om det er teknikere eller ikke-teknikere der indsætter scrips gør altså ikke den store forskel, for det er ikke selve scriptet der indsættes, kun et kald (link) til scriptet. Selve scriptet ligger på 3. parts servere og kan og bliver (!) derfor ændret løbende af 3. part.

Så versionsstyring og kvalitetskontrol kan ikke fange hvis (når!) der sker ændringer i det script der kaldes. Eller ændringer i et script der kaldes af scriptet...

Den eneste måde virksomhederne kan sikre sig er (ud over at droppe alle de smarte ting som jo OGSÅ er muligt takket være Google Tag Manager) er, kun at insætte scripts fra pålidelige leverandører.

At sikre sig at man kun indgår aftaler med troværdige og pålidelige leverandører om, hvilke scripts man ønsker skal have lov til at blive afviklet på ens hjemmeside er mindst lige så meget en forretningsopgave som det er en teknik-opgave.

  • 9
  • 0
Christian Schmidt

Så versionsstyring og kvalitetskontrol kan ikke fange hvis (når!) der sker ændringer i det script der kaldes. Eller ændringer i et script der kaldes af scriptet...


Sandt nok. Hvis angrebet sker hos leverandøreren, kan egen kvalitetssikring ikke sikre mod denne type angreb, hvis man bruger eksterne tags.

Generelt vil jeg dog ikke være bekymret ved at indsætte fx Google Analytics-tags. Jeg har stor tiltro til, at Google ikke ved en fejl eller ved ond hensigt ændrer i tags, så det påvirker sitet negativt.

Min primære anke mod Google Tag Manager er, at virksomhedens egne ansatte – både teknikere og ikke-teknikere, med både gode og slette hensigter – kan sætte kode i produktion uden om de sædvanlige procedurer og sikkerhedsmekanismer. Dette er ikke begrænset til statistik-tags fra leverandører men omfatter også vilkårlig JavaScript-kode, som kan indtastes direkte i et tekstfelt i Google Tag Manager.

  • 6
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize