Por que as lições da violação de dados da British Airways são mais oportunas do que nunca

Os ataques à cadeia de fornecimento de navegadores – onde scripts de terceiros executados nos navegadores dos usuários finais são injetados com explorações maliciosas – continuam sendo uma ameaça subestimada e subprotegida, mesmo que sua prevalência continue a acelerar. A história de advertência sobre a violação de dados da British Airways foi a primeira a mostrar o quão devastadores esses ataques no navegador podem ser. As companhias aéreas continuaram a ser um alvo popular, com a EasyJet e a Air Europa sofrendo tipos de ataques semelhantes. Mas eles não estão sozinhos. Ainda mais recentemente, a gigante dos seguros Kaiser Permanente anunciou publicamente uma violação de dados , decorrente de scripts de navegadores de terceiros, que afetou milhões de atuais e antigos membros de seguros.

A proteção contra esse vetor de ameaças é mais urgente do que nunca para os engenheiros, e as organizações que ignoram o risco de violações da cadeia de suprimentos dos navegadores fazem isso por sua conta e risco. Veja por que o incidente da British Airways ainda é tão relevante para a estratégia de segurança cibernética empresarial e o que pode ser feito para proteger contra ameaças semelhantes.

Os invasores exploraram falhas de segurança

Na violação da British Airways, qualquer cliente que inserisse as informações do seu carro de crédito para fazer uma compra no site oficial da British Airways teve esses dados confidenciais copiados e enviados para um domínio controlado pelo invasor por meio de um script malicioso no navegador. Quando a companhia aérea finalmente percebeu esta ameaça difícil de detectar, mais de 400.000 clientes tiveram seus dados pessoais expostos, levando a uma multa recorde de mais de £ 183 milhões por parte dos reguladores do Information Commissioner's Office (ICO) do Reino Unido.

As origens do incidente remontam a uma incursão inicial em que os atacantes iniciaram sessão nos sistemas da British Airways utilizando as credenciais roubadas de um funcionário do fornecedor de serviços de carga Swissport. Essa conta não possuía proteção de autenticação multifatorial, permitindo que invasores fizessem login em um ambiente de acesso remoto Citrix e ampliassem seu acesso além das restrições destinadas a limitar usuários remotos a áreas seguras da rede.

Os invasores então introduziram ferramentas para investigar vulnerabilidades adicionais em toda a rede; eles logo descobriram um arquivo de texto simples não criptografado que incluía as credenciais de login de um administrador de domínio. Isso deu aos invasores uma porta aberta para acessar computadores e servidores no domínio, alterar configurações e manipular recursos de rede. Eles começaram a fazer login nos servidores, descobriram as credenciais de login de um administrador de banco de dados no dia seguinte e continuaram a explorar pacientemente os dados disponíveis quando quisessem.

Os invasores encontraram arquivos de log com detalhes de 108 mil cartões de pagamento , todos armazenados em texto simples . Como resultado de um recurso de teste acidentalmente ativado, os dados nunca deveriam ser armazenados e certamente não foram deixados totalmente inseguros. Os invasores descobriram então um arquivo que incluía o código do site da British Airways, dando-lhes todas as oportunidades necessárias para preparar o ataque à cadeia de suprimentos do navegador.

Compreendendo a anatomia de um ataque à cadeia de suprimentos de navegador

Como ponto focal principal de sua estratégia, os invasores adquiriram baways dot com, um nome de domínio disponível facilmente interpretado erroneamente como um endereço web oficial pertencente à empresa. Embora o domínio usasse um provedor de hospedagem lituano e fosse hospedado fora da Romênia, a British Airways não tinha monitoramento capaz de alertar o pessoal de segurança de que algo estava errado.

O desenvolvimento de sites modernos utiliza vários scripts de fontes de terceiros para permitir a interatividade e os recursos avançados que os usuários esperam. Exemplos de recursos alimentados por scripts de terceiros incluem tudo, desde chatbots a ferramentas de marketing e análise até medidas de segurança como captchas. Mas esses scripts são particularmente desafiadores para as empresas monitorarem e protegerem, porque na maioria das vezes eles são hospedados e gerenciados externamente. Uma simples vulnerabilidade ou erro por parte de um fornecedor terceirizado pode levar a um incidente de segurança. Em cenários em que esses fornecedores não têm experiência para fornecer código seguro — ou onde mudanças nos negócios e no pessoal levam a scripts não mantidos e não monitorados — os riscos podem se tornar extremos.

No momento da violação, o site da British Airways carregou cerca de 20 scripts de terceiros (30 incluindo a página de reserva). Os navegadores dos visitantes do site receberam solicitações do site para obter e executar código de fontes externas. Esta é uma prática padrão, e os navegadores não são projetados para julgar se os scripts ou os endpoints para os quais eles enviam dados são legítimos. Os invasores injetaram código malicioso na biblioteca Modernizr JavaScript, um script comum que ajuda a detectar recursos do navegador para otimizar experiências. Essa versão comprometida do script, servida pelo servidor web da British Airways, enviava uma cópia de todos os dados enviados pelo cliente ao site do invasor.

Foi assim que, durante cerca de três semanas, todas as informações de cartões de pagamento inseridas no site da British Airways foram roubadas pelos invasores. Os clientes permaneceram completamente inconscientes na época, embora fossem seus próprios navegadores que enviavam suas informações confidenciais. Os invasores foram espertos em manter intactas a experiência normal da web e a latência, tornando o roubo de dados transparente para os usuários e para a equipe de segurança por semanas.

Quando um terceiro finalmente reconheceu e notificou a British Airways sobre a violação semanas depois, a empresa fez tudo certo. Em menos de duas horas, a equipe de segurança neutralizou o código malicioso e bloqueou o site falso. Clientes, bancos que processam pagamentos e a ICO receberam notificação imediata. Mas o dano foi feito. A reputação da companhia aérea foi atingida, seguida de uma penalidade regulatória recorde e ações judiciais coletivas posteriormente resolvidas fora dos tribunais. Embora a pena tenha sido posteriormente reduzida à luz da rápida responsabilização da empresa (e em associação com o alívio da pandemia), este foi um episódio que qualquer um evitaria ansiosamente.

Um prenúncio de ameaças que virão

Para ser claro, é difícil encontrar falhas na segurança da British Airways neste incidente: as ferramentas necessárias para detectar de forma confiável ataques à cadeia de fornecimento de navegadores com cargas maliciosas entregues através de scripts de terceiros simplesmente não estavam disponíveis naquela época. Ao mesmo tempo, eventos subsequentes como o ataque Magecart (afetando 17.000 sites) demonstraram que os hackers encontraram uma vulnerabilidade de que gostaram. Ainda hoje, as posturas de segurança da maioria das organizações não têm visibilidade destes ataques. Embora as proteções gerais de segurança de TI mereçam agora uma atenção sem precedentes, a ameaça crescente de ataques à cadeia de fornecimento de navegadores permanece em grande parte subprotegida ou abordada apenas com requisitos mínimos de conformidade.

No entanto, agora existem recursos de segurança para fornecer às equipes defesas robustas contra esses ataques. Essencial para a segurança eficaz da cadeia de suprimentos do navegador é a capacidade de monitorar e examinar continuamente o conteúdo de scripts de terceiros, aproveitando estratégias projetadas para remover scripts maliciosos instantaneamente. Considerando a natureza dinâmica desses ataques, uma revisão ou monitoramento único que verifica apenas a origem dos scripts simplesmente não é suficiente. Dito isto, as equipes devem escolher as fontes de terceiros mais seguras que puderem, ao mesmo tempo que verificam continuamente essa confiança. As equipes também devem praticar uma boa higiene de segurança e fortalecer seus ambientes, removendo ativamente serviços e scripts de qualquer página onde não sejam necessários, especialmente em páginas confidenciais, como portais de pagamento.

Um requisito urgente de segurança

À medida que os sites utilizam cada vez mais scripts de terceiros para trazer experiências modernizadas aos navegadores dos usuários, os invasores descobrirão apenas mais oportunidades. As equipes podem aprender as lições de ataques como o que se abateu sobre a British Airways e tomar medidas para proteger totalmente as cadeias de fornecimento de seus navegadores agora, ou aprendê-las da maneira mais difícil.