Las 22 líneas de JavaScript que permitieron el robo de datos de 380.000 clientes

  • 0 Respuestas
  • 1497 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Andrey

  • *
  • Underc0der
  • Mensajes: 251
  • Actividad:
    0%
  • Reputación 8
  • Toma lo que quieras, y nada devuelvas...
    • Ver Perfil
    • Evil Labs

Las 22 líneas de JavaScript que permitieron el robo de datos de 380.000 clientes de British Airways

En RiskIQ han publicado el análisis post mortem del robo de datos que sufrió British Airways a finales de agosto: Inside the Magecart Breach of British Airways: How 22 Lines of Code Claimed 380,000 Victims. En concreto afectó a todas las personas que utilizaron la pasarela de pagos de la web principal y de la app móvil, entre el 21 de agosto y el 5 de septiembre.
https://www.riskiq.com/blog/labs/magecart-british-airways-breach/

Según parece un grupo denominado Magecart que ya había actuado antes consiguió inyectar su código en una librería de JavaScript que utiliza la web de British Airways, concretamente la Modernizr version 2.6.2.

Como muchas webs actualizan sus librerías a menudo si por alguna razón no pasan un chequeo de seguridad estricto puede que alguien la haya modificado con malas intenciones en otro lugar –por ejemplo el repositorio de código del que se descargan– en forma de actualización menor que pasa desapercibida – y ahí es cuando empiezan los problemas.

Ante este problema los usuarios, clientes y visitantes no pueden hacer nada, tal y como explican en Hackeo a British Airways en El Confidencial. Es la empresa propietaria de la web/app quien debe garantizar la seguridad cuando se le proporcionan datos sensibles. Este caso demuestra que esto puede suceder en sitios web y apps de todo tipo: desde los relativamente sencillos como los gestionados con WordPress a las grandes megacorporaciones que hacen grandes desarrollos pero dependen de código externo como son estas librerías. Es algo que requiere aumentar las medidas de seguridad especialmente cuando se manejan sistemas de pago, datos personales o cuentas con contraseñas.



Fuente: https://www.microsiervos.com/archivo/seguridad/22-lineas-javascript-robo-datos-clientes-british-airways.html


"Es un mundo brutal y peligroso el que hay allá afuera... Pero encontré mi camino. El caos es mi hogar, y me aseguraré de que no escapes de el"...

"Solo se necesita una excusa para cambiar el mundo"

 

Hallan en Google play ""app"" linterna que roba datos bancarios

Iniciado por Denisse

Respuestas: 0
Vistas: 1960
Último mensaje Mayo 01, 2017, 04:18:54 am
por Denisse
Detienen un grupo "Hacker" que vendía datos robados

Iniciado por Dragora

Respuestas: 0
Vistas: 533
Último mensaje Mayo 07, 2020, 01:47:37 am
por Dragora
Malware utiliza el servicio BITS de Windows para filtrar datos de forma sigilosa

Iniciado por Dragora

Respuestas: 0
Vistas: 545
Último mensaje Septiembre 09, 2019, 12:23:19 pm
por Dragora
DEFCON 2019 demo: Usan tu cuenta de Netflix para hacerse con tus datos bancarios

Iniciado por Dragora

Respuestas: 0
Vistas: 740
Último mensaje Agosto 14, 2019, 02:18:48 am
por Dragora
¿Conectado a una red wifi? Hasta una niña de siete años puede robar tus datos

Iniciado por Alejandro_99

Respuestas: 0
Vistas: 2335
Último mensaje Abril 12, 2015, 02:46:22 pm
por Alejandro_99