Стали известны подробности о масштабном взломе IT-систем британской национальной авиакомпании British Airways, в результате которого в открытом доступе оказались данные пассажиров, в том числе их номера кредитных карт, и за который перевозчик был оштрафован на 20 миллионов фунтов стерлингов, что по нынешнему курсу превышает 2 миллиарда рублей.

Первоначально штраф за допущение такого взлома должен был быть в 9 раз больше, однако суд принял во внимание и без того сложную ситуацию из-за пандемии и «скостил» наказание.

Если вкратце, то в период с 22 июня по 5 сентября 2018 года злоумышленники получили доступ к внутренним приложениям British Airways при помощи «скомпрометированных реквизитов для удаленного шлюза», или, если перевести с айтишного на русский, украв логин и пароль для входа в систему из-за пределов офиса. Подробная же история напоминает шпионский боевик:

Сначала преступники украли логин и пароль сотрудника хендлинговой компании Swissport – она, в частности занимается для BA организацией грузоперевозок в ряде аэропортов. Было скомпрометировано пять учетных записей; логины и пароли от них не были должным образом защищены, например, для них никто не включал двухфакторную авторизацию (типа отправки SMS с одноразовым паролем), а сами пароли были очень простыми из серии “qwerty12345”. В общем, как в том детском стихотворении: не было гвоздя – подкова пропала.

Имея пароль и получив с ним доступ к внутренней сети BA, злоумышленник смог провести сетевую разведку и добраться не только до ресурсов, предназначенных для сотрудников Swissport: в частности, запустить скрипты, которые в обычных условиях сервер удаленного доступа блокирует, а для залогиненного пользователя почему-то нет. Не было подковы – лошадь захромала.

В результате, используя известные уязвимости, злоумышленник смог получить логин и пароль администратора домена с привилегированными правами, и, соответственно, практически неограниченный доступ к скомпрометрированному домену. Лошадь захромала – командир убит.

Уже 25 июня злоумышленник находит файлы, содержащие данные о банковских картах пассажиров. Они не зашифрованы! А не зашифрованы потому, что хранились в рамках эксперимента и были не нужны ни для чего: просто сохранялись в файлик аж с декабря 2015 года и все. Впрочем, через 95 дней они оттуда автоматически удалялись, так что хакерам тоже досталась база лишь за последние 3 с небольшим месяца: «всего» 108 тысяч хороших, годных, актуальных карт. В общем, конница разбита – армия бежит.

И, наконец, злоумышленник пошел дальше: в августе он создает фишинговый сайт «BAways» и запускает редирект на него с основного сервера. Теперь пассажиры, покупающие билет на сайте авиакомпании, успешно его покупают (потому что запросы переадресуются на настоящую систему бронирования), но данные их кредитной карты заодно отправляются злоумышленникам. Редирект просуществовал две недели, пока его не обнаружили и не устранили в течение полутора часов. За это время хакеры получили персональные данные порядка 430 тысяч пассажиров, включая номера их банковских карт. Враг вступает в город, пленных не щадя, потому что в кузнице не было гвоздя.

Илья Шатилин