Auch Kreditkarten- und Kontodaten betroffen
Laut Klijnsma wurden Kundendaten sowohl von der Website als auch aus der App der Fluglinie gestohlen, sie wurden zwischen 21. August und 5. September abgegriffen. Bei den Daten handelte es sich nur um solche, die bei der Buchung eines Tickets in das Bezahlformular eingegeben werden – Daten zum Flug und dem Reiseziel waren von dem Hack nicht betroffen.
Klijnsma war es so möglich Zusammenhänge zum Vorgehen der Hackergruppe Magecart zu finden. Diese hatte Kundendaten in ähnlichem Umfang bereits in diesem Jahr beim Portal Ticketmaster UK und anderen Diensteanbietern gestohlen. Das Datenleck bei British Airways passte in ihr Schema.
Nutzung von Kreditkarten-Skimmern
Laut dem Sicherheitsexperten nutzt Magecart so genannte Kreditkarten-Skimmer zum Abgreifen von Zahlungsdaten in digitaler Form. Eine solche Skimmer-Software wurde laut Klijnsma auch in die Website von British Airways injiziert. Da die App auf das Grundgerüst der Website zurückgreift, wurde der Diebstahl auch hier möglich, wie es weiter dazu heißt.
Die Malware soll wahrscheinlich am 21. August unbemerkt installiert worden sein. Das führte dazu, dass Nutzern, die seitdem auf der Webseite Tickest buchten, sämtliche Daten über die Bezahlseite entwendet wurden. Über eine Fake-Webseite erfolgte dann der Datentransfer auf einen privaten Server in Rumänien.
Hacker arbeiteten mit speziell angepasster Version
Wie der Sicherheitsexperte ermittelte, haben die Hacker eine speziell an das Bezahlformular der Fluglinie angepasste Version verwendet. Ein Indiz dafür, dass die Webseite im Vorfeld eingehend analysiert wurde. Das erklärt auch die Tatsache, dass keine Reisedaten betroffen waren.
British Airways wollte die Ergebnisse des Sicherheitsexperten bislang nicht kommentieren. Laut Firmensprecherin Liza Ravenscroft wolle British Airways keine Stellungnahme zu andauernden strafrechtlichen Ermittlungen zu dem Vorfall abgeben, so pcwelt.de.
Weiterführende Links:
Skimming: Massenhafte Infektion von Online-Shops gefährdet Kunden
Skimming: Warnung an Geldinstitute: Bankautomaten verwanzt
Bericht von Jonathan Klijnsma RiskIQ
pcwelt.de: British Airways: Neue Details zum Kundendaten-Diebstahl