El robo de información de clientes de British Airways se motivó por el cambio de 22 líneas de comando del texto en una librería en Java ubicada en los servidores de la aerolínea, y provino de un grupo de cibercriminales llamado Magecart, responsable de otros ataques similares llevados a cabo recientemente.
RiskIQ, la firma de seguridad, realizó un estudio centrado en identificar variaciones en fragmentos de código fuente dentro de la página web de British Airways a lo largo del tiempo, en el cual indica que en una de las muestras se apreciaban modificaciones en el lenguaje de programación JavaScript dentro de la biblioteca.
El repositorio se llama Modernizr y se utiliza para simplificar el soporte de un navegador, ya que es capaz de detectar acciones como tecleo y clic. Con el código modificado se pudieron robar los datos, pues estos provenían de procesos de pago que se activan después de realizar un tecleo, conocidos como “touchend”.
El cambio, bastante corto, de las 22 líneas de código permitió a los piratas informáticos borrar los pagos realizados por los clientes y extraer datos relativos al nombre del usuario, dirección, número de teléfono y cualquier aspecto introducido tanto en la web de British Airways como en la aplicación móvil de la compañía.
La empresa británica sufrió una violación de seguridad entre el 21 de agosto y el 5 de septiembre, en la cual alrededor de 75,000 clientes y 380,000 pagos se vieron involucrados. British Airways informó en su página web que la investigación sobre el robo de datos todavía está en curso.
El ciberataque logró afectar también a los usuarios de la aplicación de la aerolínea a pesar de que el cambio en el código se realizó solamente en la web. Esto se debe a que los ciberdelincuentes aprovecharon áreas sin programar de la aplicación completadas con el código de la web, una práctica frecuente en las apps móviles.
Según la compañía de ciberseguridad, los hackers tuvieron que acceder a los servidores propios del British Airways para poder llevar a cabo un cambio del código de la web de la compañía, aunque no han sido capaces de determinar el alcance de sus acciones.
Magecart, el grupo responsable del ataque a la aerolínea, se ha relacionado con otras acciones criminales realizadas recientemente, como el robo de datos de pago de 400,000 usuarios de la plataforma de venta de entradas TicketMaster en el Reino Unido.