Почему уроки утечки данных British Airways актуальны как никогда

Атаки на цепочку поставок браузеров, когда в сторонние скрипты, работающие в веб-браузерах конечных пользователей, внедряются вредоносные эксплойты, остаются недооцененной и недостаточно защищенной угрозой, даже несмотря на то, что их распространенность продолжает расти. Поучительная история об утечке данных British Airways была первой, которая показала, насколько разрушительными могут быть эти атаки на стороне браузера. Авиакомпании остаются популярной мишенью: компании EasyJet и Air Europa подвергаются схожим типам атак. Но они не одиноки. Совсем недавно страховой гигант Kaiser Permanente публично объявил об утечке данных , вызванной скриптами сторонних браузеров, от которой пострадали миллионы нынешних и бывших участников страховой компании.

Защита от этого вектора угроз как никогда актуальна для инженеров, и организации, игнорирующие риск нарушений цепочки поставок браузеров, делают это на свой страх и риск. Вот почему инцидент с British Airways по-прежнему так актуален для стратегии кибербезопасности предприятий и что можно сделать для защиты от подобных угроз.

Злоумышленники воспользовались бреши в безопасности

В результате взлома British Airways любой клиент, который вводил информацию о своей кредитной машине для совершения покупки на официальном сайте British Airways, копировал эти конфиденциальные данные и отправлял их в домен, контролируемый злоумышленником, с помощью вредоносного скрипта на стороне браузера. К тому времени, когда авиакомпания наконец заметила эту труднообнаружимую угрозу, личные данные более 400 000 клиентов были раскрыты, что привело к рекордному штрафу в размере 183 миллионов фунтов стерлингов со стороны регулирующих органов Управления комиссара по информации Великобритании (ICO).

Истоки инцидента связаны с первоначальным вторжением, когда злоумышленники вошли в системы British Airways, используя украденные учетные данные сотрудника поставщика грузовых услуг Swissport. В этой учетной записи отсутствовала защита многофакторной аутентификации, что позволяло злоумышленникам войти в среду удаленного доступа Citrix и расширить свой доступ за пределы ограничений, предназначенных для ограничения удаленных пользователей безопасными областями сети.

Затем злоумышленники представили инструменты для проверки всей сети на наличие дополнительных уязвимостей; вскоре они обнаружили незашифрованный текстовый файл, содержащий учетные данные администратора домена. Это дало злоумышленникам возможность получить доступ к компьютерам и серверам в домене, изменить настройки конфигурации и манипулировать сетевыми ресурсами. Они начали входить на серверы, на следующий день обнаружили учетные данные администратора базы данных и продолжали терпеливо изучать доступные данные на досуге.

Злоумышленники обнаружили файлы журналов с данными 108 000 платежных карт , хранящиеся в виде обычного текста . В результате случайно оставленной функции тестирования данные никогда не должны были храниться и, конечно же, не оставались полностью незащищенными. Затем злоумышленники обнаружили файл, содержащий код сайта British Airways, что дало им все возможности, необходимые для подготовки атаки на цепочку поставок браузера.

Понимание анатомии атаки на цепочку поставок браузера

В качестве ключевого элемента своей стратегии злоумышленники приобрели baways dot com — доступное доменное имя, которое легко ошибочно принять за официальный веб-адрес, принадлежащий компании. Хотя домен использовал литовского хостинг-провайдера и размещался за пределами Румынии, у British Airways не было системы мониторинга, способной предупредить сотрудников службы безопасности о том, что что-то не так.

В современной разработке веб-сайтов используются многочисленные скрипты из сторонних источников, чтобы обеспечить интерактивность и расширенные возможности, которые ожидают пользователи. Примеры функций, основанных на сторонних скриптах, включают в себя все: от чат-ботов до инструментов маркетинга и аналитики и мер безопасности, таких как капчи. Но компаниям особенно сложно отслеживать и защищать эти сценарии, поскольку чаще всего они размещаются и управляются извне. Простая уязвимость или ошибка на стороне стороннего поставщика может привести к инциденту безопасности. В сценариях, когда таким поставщикам не хватает опыта для создания безопасного кода или когда изменения в бизнесе и персонале приводят к появлению необслуживаемых и неконтролируемых сценариев, риски могут стать экстремальными.

На момент взлома на веб-сайте British Airways было загружено около 20 сторонних скриптов (30, включая страницу бронирования). Браузеры посетителей сайта получали запросы от сайта на получение и выполнение кода из внешних источников. Это стандартная практика, и браузеры не предназначены для того, чтобы судить о том, являются ли сценарии или конечные точки, на которые они отправляют данные, законными. Злоумышленники внедрили вредоносный код в библиотеку JavaScript Modernizr — распространенный скрипт, который помогает обнаруживать функции браузера для оптимизации работы. Эта скомпрометированная версия скрипта, обслуживаемая веб-сервером British Airways, отправляла копии любых данных, предоставленных клиентом, на сайт злоумышленника.

Таким образом, в течение примерно трёх недель злоумышленники просматривали всю информацию о платёжных картах, введенную на сайте British Airways. В то время клиенты ничего не знали, хотя конфиденциальную информацию отправляли их собственные браузеры. Злоумышленникам удалось сохранить нормальную работу Интернета и задержку, сделав кражу данных прозрачной как для пользователей, так и для сотрудников службы безопасности на несколько недель.

Когда через несколько недель третья сторона наконец признала и уведомила British Airways о нарушении, компания все сделала правильно. Менее чем за два часа служба безопасности нейтрализовала вредоносный код и заблокировала поддельный веб-сайт. Клиенты, банки, обрабатывающие платежи, и ICO получили незамедлительное уведомление. Но ущерб был нанесен. Репутация авиакомпании пострадала, последовал рекордный штраф со стороны регулирующих органов, а коллективные иски позже были урегулированы во внесудебном порядке. Хотя позже наказание было смягчено в свете быстрой подотчетности компании (а также в связи с оказанием помощи во время пандемии), этого эпизода каждый хотел бы избежать.

Предвестник грядущих угроз

Чтобы внести ясность, трудно придраться к безопасности British Airways в этом инциденте: инструменты, необходимые для надежного обнаружения атак на цепочку поставок браузера с использованием вредоносных полезных данных, доставляемых через сторонние скрипты, тогда просто не были доступны. В то же время последующие события, такие как атака Magecart (затронувшая 17 000 сайтов), продемонстрировали, что хакеры нашли понравившуюся им уязвимость. Даже сегодня в большинстве организаций меры безопасности не позволяют выявить эти атаки. Хотя общие средства защиты ИТ-безопасности сейчас требуют беспрецедентного внимания, растущая угроза атак на цепочку поставок браузеров по-прежнему в значительной степени недостаточно защищена или удовлетворяет лишь минимальным требованиям соответствия.

Однако теперь существуют возможности обеспечения безопасности, позволяющие командам обеспечить надежную защиту от этих атак. Для эффективной безопасности цепочки поставок браузера необходима возможность отслеживать и постоянно проверять содержимое сторонних скриптов, используя стратегии, предназначенные для мгновенного удаления вредоносных скриптов. Учитывая динамичный характер этих атак, однократной проверки или мониторинга, проверяющего только источник скриптов, просто недостаточно. Тем не менее, команды должны выбирать самые безопасные сторонние источники, которые они могут, постоянно проверяя это доверие. Команды также должны соблюдать правила гигиены безопасности и укреплять свою среду, активно удаляя службы и сценарии со всех страниц, где они не нужны, особенно с конфиденциальных страниц, таких как платежные порталы.

Срочное требование безопасности

Поскольку веб-сайты используют все больше и больше сторонних скриптов для модернизации браузеров пользователей, злоумышленники откроют для себя только больше возможностей. Команды могут извлечь уроки из атак, подобных той, которая произошла с British Airways, и предпринять шаги для полной защиты цепочек поставок своих браузеров прямо сейчас или изучить их на собственном горьком опыте.