Tại sao bài học về vụ vi phạm dữ liệu của British Airways lại kịp thời hơn bao giờ hết

Các cuộc tấn công chuỗi cung ứng trình duyệt—trong đó các tập lệnh của bên thứ ba chạy trong trình duyệt web của người dùng cuối bị lây nhiễm các hoạt động khai thác độc hại—vẫn là một mối đe dọa được đánh giá thấp và không được bảo mật, ngay cả khi mức độ phổ biến của chúng tiếp tục gia tăng. Câu chuyện cảnh báo về vụ vi phạm dữ liệu của British Airways là câu chuyện đầu tiên cho thấy những cuộc tấn công phía trình duyệt này có thể tàn khốc đến mức nào. Các hãng hàng không vẫn là mục tiêu phổ biến, trong đó EasyJet và Air Europa phải hứng chịu các kiểu tấn công tương tự. Nhưng họ không đơn độc. Thậm chí gần đây hơn, gã khổng lồ bảo hiểm Kaiser Permanente đã công khai thông báo về một vụ vi phạm dữ liệu , xuất phát từ các tập lệnh trình duyệt của bên thứ ba, đã ảnh hưởng đến hàng triệu thành viên bảo hiểm hiện tại và trước đây.

Việc bảo vệ khỏi mối đe dọa này trở nên cấp thiết hơn bao giờ hết đối với các kỹ sư và các tổ chức bỏ qua nguy cơ vi phạm chuỗi cung ứng trình duyệt sẽ gặp nguy hiểm khi làm như vậy. Đây là lý do tại sao sự cố của British Airways vẫn rất phù hợp với chiến lược an ninh mạng của doanh nghiệp và những gì có thể được thực hiện để bảo vệ trước các mối đe dọa tương tự.

Kẻ tấn công khai thác lỗ hổng bảo mật

Trong vụ vi phạm của British Airways, bất kỳ khách hàng nào nhập thông tin xe tín dụng của họ để mua hàng trên trang web chính thức của British Airways đều có dữ liệu nhạy cảm đó được sao chép và gửi đến miền do kẻ tấn công kiểm soát bằng một tập lệnh phía trình duyệt độc hại. Vào thời điểm hãng hàng không cuối cùng nhận thấy mối đe dọa khó phát hiện này, hơn 400.000 khách hàng đã bị lộ dữ liệu cá nhân, dẫn đến mức phạt kỷ lục hơn 183 triệu bảng Anh bởi các cơ quan quản lý tại Văn phòng Ủy viên Thông tin (ICO) của Vương quốc Anh.

Nguồn gốc của vụ việc được bắt nguồn từ một cuộc xâm nhập ban đầu khi những kẻ tấn công đăng nhập vào hệ thống của British Airways bằng cách sử dụng thông tin đăng nhập bị đánh cắp của một nhân viên của nhà cung cấp dịch vụ hàng hóa Swissport. Tài khoản đó thiếu tính năng bảo vệ xác thực đa yếu tố, cho phép kẻ tấn công đăng nhập vào môi trường truy cập từ xa Citrix và nâng cấp quyền truy cập của chúng vượt quá các hạn chế nhằm hạn chế người dùng từ xa đến các khu vực an toàn của mạng.

Những kẻ tấn công sau đó đã giới thiệu các công cụ để thăm dò toàn bộ mạng để tìm các lỗ hổng bổ sung; họ sớm phát hiện ra một tệp văn bản thuần túy không được mã hóa bao gồm thông tin đăng nhập của quản trị viên tên miền. Điều đó đã mang lại cho kẻ tấn công một cánh cửa mở để truy cập vào máy tính và máy chủ trong miền, thay đổi cài đặt cấu hình và thao túng tài nguyên mạng. Họ bắt đầu đăng nhập vào máy chủ, khám phá thông tin đăng nhập của quản trị viên cơ sở dữ liệu vào ngày hôm sau và tiếp tục kiên nhẫn khám phá dữ liệu có sẵn khi rảnh rỗi.

Những kẻ tấn công đã tìm thấy các tập tin nhật ký với thông tin chi tiết của 108.000 thẻ thanh toán , tất cả đều được lưu trữ ở dạng văn bản thuần túy . Kết quả của một tính năng thử nghiệm vô tình được bật, dữ liệu đó không bao giờ được lưu trữ và chắc chắn không được bảo mật hoàn toàn. Những kẻ tấn công sau đó đã phát hiện ra tệp chứa mã của trang web British Airways, tạo cho chúng mọi cơ hội cần thiết để chuẩn bị cho cuộc tấn công chuỗi cung ứng trình duyệt của chúng.

Hiểu cấu trúc của một cuộc tấn công chuỗi cung ứng trình duyệt

Là tâm điểm chính trong chiến lược của chúng, những kẻ tấn công đã mua baways dot com, một tên miền sẵn có dễ bị hiểu nhầm là địa chỉ web chính thức của công ty. Trong khi tên miền sử dụng nhà cung cấp dịch vụ lưu trữ của Lithuania và được đặt ở Romania, British Airways không có khả năng giám sát để cảnh báo cho nhân viên an ninh rằng có điều gì đó không ổn.

Phát triển trang web hiện đại sử dụng nhiều tập lệnh từ các nguồn của bên thứ ba để mang lại khả năng tương tác và khả năng nâng cao mà người dùng mong đợi. Ví dụ về các tính năng được cung cấp bởi tập lệnh của bên thứ ba bao gồm mọi thứ từ chatbot đến các công cụ tiếp thị và phân tích cho đến các biện pháp bảo mật như hình ảnh xác thực. Nhưng những tập lệnh này đặc biệt khó khăn đối với các công ty trong việc giám sát và bảo mật vì hầu hết chúng thường được lưu trữ và quản lý bên ngoài. Một lỗ hổng hoặc lỗi đơn giản từ phía nhà cung cấp bên thứ ba có thể dẫn đến sự cố bảo mật. Trong các tình huống mà các nhà cung cấp như vậy thiếu chuyên môn để cung cấp mã bảo mật—hoặc khi những thay đổi về hoạt động kinh doanh và nhân sự dẫn đến các tập lệnh không được bảo trì và không được giám sát—rủi ro có thể trở nên nghiêm trọng.

Vào thời điểm vi phạm, trang web của British Airways đã tải khoảng 20 tập lệnh của bên thứ ba (30 tập lệnh bao gồm cả trang đặt chỗ). Trình duyệt của khách truy cập trang web đã nhận được yêu cầu từ trang web để lấy và thực thi mã từ các nguồn bên ngoài. Đây là thông lệ tiêu chuẩn và các trình duyệt không được thiết kế để đánh giá xem tập lệnh hoặc điểm cuối mà chúng gửi dữ liệu đến có hợp pháp hay không. Những kẻ tấn công đã tiêm mã độc vào thư viện JavaScript Modernizr, một tập lệnh phổ biến giúp phát hiện các tính năng của trình duyệt để tối ưu hóa trải nghiệm. Phiên bản tập lệnh bị xâm phạm này, do máy chủ web của British Airways cung cấp, đã gửi một bản sao của bất kỳ dữ liệu nào do khách hàng gửi đến trang web của kẻ tấn công.

Đây là lý do trong khoảng ba tuần, tất cả thông tin thẻ thanh toán được nhập vào trang web của British Airways đã bị những kẻ tấn công đọc lướt. Khách hàng hoàn toàn không biết vào thời điểm đó, mặc dù chính trình duyệt của họ đã gửi thông tin nhạy cảm của họ. Những kẻ tấn công đã rất thông minh khi giữ nguyên trải nghiệm web bình thường và độ trễ, khiến việc đánh cắp dữ liệu của chúng trở nên minh bạch đối với cả người dùng và nhân viên bảo mật trong nhiều tuần.

Khi bên thứ ba cuối cùng đã nhận ra và thông báo cho British Airways về vi phạm vài tuần sau đó, công ty đã làm đúng mọi việc. Trong vòng chưa đầy hai giờ, đội bảo mật đã vô hiệu hóa mã độc và chặn trang web giả mạo. Khách hàng, ngân hàng xử lý thanh toán và ICO đã nhận được thông báo nhanh chóng. Nhưng thiệt hại đã được thực hiện. Danh tiếng của hãng hàng không bị ảnh hưởng nặng nề, sau đó phải chịu một hình phạt pháp lý lập kỷ lục và các vụ kiện tập thể sau đó đã được giải quyết ngoài tòa án. Mặc dù hình phạt sau đó đã được giảm bớt do trách nhiệm giải trình nhanh chóng của công ty (và liên quan đến việc cứu trợ đại dịch), nhưng đây là tình tiết mà bất kỳ ai cũng muốn tránh.

Điềm báo về những mối đe dọa sắp tới

Nói rõ hơn, thật khó để tìm ra lỗi bảo mật của British Airways trong sự cố này: công cụ cần thiết để phát hiện các cuộc tấn công chuỗi cung ứng trình duyệt một cách đáng tin cậy với các tải trọng độc hại được phân phối qua tập lệnh của bên thứ ba đơn giản là không có sẵn khi đó. Đồng thời, các sự kiện tiếp theo như cuộc tấn công Magecart (ảnh hưởng đến 17.000 trang web) đã chứng minh rằng tin tặc đã tìm thấy lỗ hổng mà chúng thích. Thậm chí ngày nay, tình hình bảo mật của hầu hết các tổ chức đều thiếu tầm nhìn về các cuộc tấn công này. Mặc dù các biện pháp bảo vệ an ninh CNTT nói chung hiện thu hút sự chú ý chưa từng có, nhưng mối đe dọa ngày càng tăng về các cuộc tấn công chuỗi cung ứng trình duyệt phần lớn vẫn chưa được bảo mật hoặc chỉ giải quyết các yêu cầu tuân thủ tối thiểu.

Tuy nhiên, hiện nay, khả năng bảo mật đã tồn tại để cung cấp cho các nhóm khả năng phòng thủ vững chắc trước những cuộc tấn công này. Điều cần thiết để bảo mật chuỗi cung ứng trình duyệt hiệu quả là khả năng giám sát và liên tục kiểm tra nội dung của các tập lệnh của bên thứ ba, tận dụng các chiến lược được thiết kế để loại bỏ các tập lệnh độc hại ngay lập tức. Xem xét tính chất linh hoạt của các cuộc tấn công này, việc xem xét hoặc giám sát một lần chỉ kiểm tra nguồn tập lệnh là không đủ. Điều đó có nghĩa là các nhóm nên chọn nguồn bên thứ ba an toàn nhất có thể, đồng thời liên tục xác minh sự tin cậy đó. Các nhóm cũng nên thực hành vệ sinh bảo mật tốt và củng cố môi trường của mình bằng cách chủ động xóa các dịch vụ và tập lệnh khỏi bất kỳ trang nào mà chúng không cần thiết—đặc biệt là trên các trang nhạy cảm như cổng thanh toán.

Yêu cầu bảo mật khẩn cấp

Khi các trang web sử dụng ngày càng nhiều tập lệnh của bên thứ ba để mang lại trải nghiệm hiện đại hóa cho trình duyệt của người dùng, những kẻ tấn công sẽ chỉ khám phá ra nhiều cơ hội hơn. Các nhóm có thể rút ra bài học về các cuộc tấn công giống như vụ xảy ra với British Airways và thực hiện các bước để bảo mật hoàn toàn chuỗi cung ứng trình duyệt của họ ngay bây giờ hoặc tìm hiểu chúng một cách khó khăn.