Warum die Lehren aus dem Datendiebstahl bei British Airways aktueller sind denn je

Browser-Supply-Chain-Angriffe – bei denen in den Webbrowsern der Endbenutzer ausgeführte Skripte von Drittanbietern mit bösartigen Exploits injiziert werden – sind nach wie vor eine unterschätzte und unzureichend abgesicherte Bedrohung, auch wenn ihre Verbreitung weiter zunimmt. Das warnende Beispiel des Datendiebstahls bei British Airways hat erstmals gezeigt, wie verheerend diese browserseitigen Angriffe sein können. Fluggesellschaften sind nach wie vor ein beliebtes Ziel; EasyJet und Air Europa sind Opfer ähnlicher Angriffe. Aber sie sind nicht die einzigen. Erst kürzlich gab der Versicherungsriese Kaiser Permanente einen Datendiebstahl öffentlich bekannt , der auf Browserskripte von Drittanbietern zurückzuführen war und Millionen aktueller und ehemaliger Versicherungskunden betraf.

Der Schutz vor diesem Bedrohungsvektor ist für Ingenieure dringender denn je, und Unternehmen, die das Risiko von Verstößen gegen die Browser-Lieferkette ignorieren, tun dies auf eigene Gefahr. Hier erfahren Sie, warum der Vorfall bei British Airways für die Cybersicherheitsstrategie von Unternehmen immer noch so relevant ist und was getan werden kann, um sich vor ähnlichen Bedrohungen zu schützen.

Angreifer nutzten Sicherheitslücken aus

Beim British Airways-Hack wurden die sensiblen Daten aller Kunden, die ihre Kreditkarteninformationen eingaben, um einen Kauf auf der offiziellen British Airways-Website zu tätigen, von einem bösartigen Browser-Skript kopiert und an eine vom Angreifer kontrollierte Domain gesendet. Als die Fluggesellschaft diese schwer zu erkennende Bedrohung schließlich bemerkte, waren die persönlichen Daten von mehr als 400.000 Kunden offengelegt worden, was zu einer Rekordstrafe von über 183 Millionen Pfund durch die Regulierungsbehörde des britischen Information Commissioner's Office (ICO) führte.

Der Ursprung des Vorfalls geht auf einen ersten Angriff zurück, bei dem sich Angreifer mit den gestohlenen Zugangsdaten eines Mitarbeiters des Frachtdienstleisters Swissport in die Systeme von British Airways einloggten. Dieses Konto verfügte nicht über eine Multi-Faktor-Authentifizierung, sodass sich Angreifer in eine Citrix-Remote-Access-Umgebung einloggen und ihren Zugriff über die Beschränkungen hinaus erweitern konnten, die Remote-Benutzer auf sichere Bereiche des Netzwerks beschränken sollen.

Die Angreifer setzten dann Tools ein, um das gesamte Netzwerk auf weitere Schwachstellen zu untersuchen. Bald entdeckten sie eine unverschlüsselte Textdatei, die die Anmeldeinformationen eines Domänenadministrators enthielt. Dies öffnete den Angreifern die Tür, um auf Computer und Server in der Domäne zuzugreifen, Konfigurationseinstellungen zu ändern und Netzwerkressourcen zu manipulieren. Sie begannen, sich bei Servern anzumelden, entdeckten am nächsten Tag die Anmeldeinformationen eines Datenbankadministrators und untersuchten weiterhin geduldig in aller Ruhe die verfügbaren Daten.

Angreifer fanden Logdateien mit den Details von 108.000 Zahlungskarten , die alle im Klartext gespeichert waren. Das Ergebnis einer versehentlich eingeschalteten Testfunktion war, dass diese Daten nie gespeichert werden sollten und schon gar nicht völlig ungesichert. Angreifer entdeckten dann Dateien, die den Code der Website von British Airways enthielten, was ihnen alle Möglichkeiten bot, ihren Browser-Supply-Chain-Angriff vorzubereiten.

Die Anatomie eines Browser-Supply-Chain-Angriffs verstehen

Als zentralen Punkt ihrer Strategie kauften die Angreifer baways dot com, einen verfügbaren Domänennamen, der leicht als offizielle Webadresse des Unternehmens missverstanden werden konnte. Obwohl die Domäne einen litauischen Hosting-Anbieter nutzte und in Rumänien gehostet wurde, verfügte British Airways nicht über die Überwachung, die das Sicherheitspersonal hätte alarmieren können, wenn etwas nicht stimmte.

Bei der modernen Website-Entwicklung werden zahlreiche Skripte von Drittanbietern verwendet, um die Interaktivität und erweiterten Funktionen zu ermöglichen, die Benutzer erwarten. Beispiele für Funktionen, die von Drittanbieter-Skripten unterstützt werden, sind alles von Chatbots über Marketing- und Analysetools bis hin zu Sicherheitsmaßnahmen wie Captchas. Für Unternehmen ist es jedoch besonders schwierig, diese Skripte zu überwachen und zu sichern, da sie meist extern gehostet und verwaltet werden. Eine einfache Sicherheitslücke oder ein Fehler auf Seiten eines Drittanbieters kann zu einem Sicherheitsvorfall führen. In Szenarien, in denen diesen Anbietern das Fachwissen fehlt, um sicheren Code bereitzustellen – oder in denen geschäftliche und personelle Änderungen zu nicht gewarteten und nicht überwachten Skripten führen – können die Risiken extrem werden.

Zum Zeitpunkt des Einbruchs lud die Website von British Airways etwa 20 Skripte von Drittanbietern (30 davon, einschließlich der Buchungsseite). Die Browser der Website-Besucher erhielten von der Website Anfragen, Code aus externen Quellen abzurufen und auszuführen. Dies ist gängige Praxis, und Browser sind nicht darauf ausgelegt, zu beurteilen, ob Skripte oder die Endpunkte, an die sie Daten senden, legitim sind. Angreifer injizierten bösartigen Code in die Modernizr-JavaScript-Bibliothek, ein gängiges Skript, das dabei hilft, Browserfunktionen zu erkennen, um das Erlebnis zu optimieren. Diese kompromittierte Version des Skripts, die vom Webserver von British Airways bereitgestellt wurde, schickte eine Kopie aller vom Kunden übermittelten Daten an die Website des Angreifers.

Auf diese Weise wurden etwa drei Wochen lang alle auf der Website von British Airways eingegebenen Zahlungskarteninformationen von Angreifern abgeschöpft. Die Kunden waren zu diesem Zeitpunkt völlig ahnungslos, obwohl ihre eigenen Browser ihre vertraulichen Daten übermittelten. Die Angreifer waren geschickt genug, um das normale Web-Erlebnis und die Latenz aufrechtzuerhalten, sodass ihr Datendiebstahl sowohl für Benutzer als auch für Sicherheitspersonal wochenlang transparent war.

Als ein Dritter den Verstoß Wochen später endlich bemerkte und British Airways darüber informierte, machte das Unternehmen alles richtig. In weniger als zwei Stunden hatte das Sicherheitsteam den Schadcode neutralisiert und die gefälschte Website blockiert. Kunden, Banken, die Zahlungen abwickeln, und das ICO wurden umgehend benachrichtigt. Aber der Schaden war angerichtet. Der Ruf der Fluggesellschaft wurde geschädigt, es folgte eine rekordverdächtige behördliche Geldstrafe und Sammelklagen wurden später außergerichtlich beigelegt. Obwohl die Strafe später angesichts der schnellen Rechenschaftspflicht des Unternehmens (und im Zusammenhang mit der Pandemiehilfe) reduziert wurde, war dies ein Vorfall, den jeder gerne vermeiden würde.

Ein Vorbote kommender Bedrohungen

Um es klar zu sagen: Es ist schwer, bei diesem Vorfall an der Sicherheit von British Airways etwas auszusetzen: Die Tools, die erforderlich sind, um Browser-Supply-Chain-Angriffe mit bösartigen Payloads, die über Drittanbieter-Skripte übermittelt werden, zuverlässig zu erkennen, waren damals einfach nicht verfügbar. Gleichzeitig zeigten nachfolgende Ereignisse wie der Magecart-Angriff (der 17.000 Websites betraf), dass Hacker eine Schwachstelle fanden, die ihnen gefiel. Selbst heute fehlt den meisten Organisationen in ihrer Sicherheitslage die Transparenz über diese Angriffe. Während allgemeine IT-Sicherheitsmaßnahmen heute beispiellose Aufmerksamkeit erhalten, ist die zunehmende Bedrohung durch Browser-Supply-Chain-Angriffe nach wie vor weitgehend unzureichend abgesichert oder es werden nur minimale Compliance-Anforderungen erfüllt.

Es gibt jedoch mittlerweile Sicherheitsfunktionen, die Teams einen robusten Schutz gegen diese Angriffe bieten. Für eine effektive Browser-Lieferkettensicherheit ist die Fähigkeit, den Inhalt von Drittanbieter-Skripten zu überwachen und kontinuierlich zu prüfen , unerlässlich. Dabei kommen Strategien zum Einsatz, die darauf ausgelegt sind, bösartige Skripte sofort zu entfernen. Angesichts der dynamischen Natur dieser Angriffe reicht eine einmalige Überprüfung oder Überwachung, bei der nur die Quelle der Skripte geprüft wird, einfach nicht aus. Daher sollten Teams die sichersten Drittanbieterquellen auswählen, die sie finden können, und dieses Vertrauen kontinuierlich überprüfen. Teams sollten außerdem eine gute Sicherheitshygiene praktizieren und ihre Umgebungen abhärten, indem sie aktiv Dienste und Skripte von allen Seiten entfernen, auf denen sie nicht benötigt werden – insbesondere auf sensiblen Seiten wie Zahlungsportalen.

Eine dringende Sicherheitsanforderung

Da Websites immer mehr Drittanbieter-Skripte verwenden, um den Browsern der Benutzer ein modernes Erlebnis zu bieten, eröffnen sich Angreifern immer mehr Möglichkeiten. Teams können aus Angriffen wie dem auf British Airways lernen und Maßnahmen ergreifen, um ihre Browser-Lieferketten jetzt vollständig abzusichern – oder sie müssen es auf die harte Tour lernen.