9月6日，英国航空公司（ British Airways，以下简称英航）发布声明称因遭黑客进犯然后导致其乘客数据被盗。在BBC的采访中，英航指出，经开始查询，约有38万乘客数据在此交数据走漏事情中受到影响，这些被盗数据信息包含个人基本信息和付款记载，但不包含个人护照信息。
随后，英航在其网站上宣布了一篇文章，解说了该事情的相关细节和一些乘客忧虑的问题，该篇文章触及的技能细节较少，但包含了以下信息：
通过英航官网进行付款操作的乘客相关信息受到影响
通过英航手机APP运用进行付款操作的乘客相关信息受到影响
受影响的付款乘客时刻段大约为2019年8月21日晚22:58至2019年9月5日晚21:45
英航在文中标明，进犯者从其官网和移动运用程序中盗取了以上乘客数据信息，但并未提及更多数据库或服务器被侵略的有价值头绪。因为英航的被盗信息仅与乘客的付款记载相关，考虑到信用卡数据盗取的前科，咱们对臭名远扬的 *** 违法集团Magecart有了置疑。
在此之前，英国老牌票务网站Ticketmaster就陈述过一同与英航相似的数据走漏事情，之后，咱们RiskIQ查询清楚了整个事情。因为咱们能够对涉事方官网进行网页抓取和互联网行为剖析，因而咱们团队能够扩展涉事时刻段，发现比一些揭露陈述更多的被进犯网站。本文中，咱们将对9月6日揭露的英航数据被盗事情，进行前后15天的时刻线扩展查询。
Magecart: 一个臭名远扬的 *** 违法集团
自2019年以来，RiskIQ对进行 *** 信用卡盗取的安排Magecart进行了屡次报导。传统上来说，违法份子会运用一种卡片读取器的东西，躲藏附加在咱们平常用到的ATM机、加油站和其它刷卡设备中，以此来盗取用户信用卡信息，并进行卡片盗刷或个人信息转卖。而现在，Magecart运用的是各种在线电子盗取 *** 来完结用户信息盗取。
Magecart会对一些在线用户付出网站注入脚本，或侵略一些付出相关的第三方供货商网站，以此来盗取用户数据。近期，Magecart进犯者就通过侵略了一个第三方功用运用，然后在英国票务网站Ticketmaster上植入了一个在线的信用卡读取脚本，然后导致了Ticketmaster许多数据走漏。依据标明，在Ticketmaster之后，Magecart把进犯方针转向了英国航空公司（British Airways）。
英航数据走漏事情查询
网站用户信息盗取
查询刚开始，运用咱们自己的Magecart检测方式，咱们把Magecart和英航数据走漏事情进行了适配相关。对咱们来说，Magecart的进犯十分常见，以至于在查询刚开始，简直每小时都能响应到Magecart向英航网站植入的卡片读取代码。
对RiskIQ的剖析后端来说，其页面抓取规划是一项值得必定的才能，咱们每天的网页抓取量会到达20亿页，并能主动累积，别的因为许多现代网站倾向于运用JavaScript来完结架站服务，所以，咱们只需加载英航公司网站的20个左右脚本和30个左右的预定子页面就能够了。30个页面尽管不多，但其间大多都是缩小的稀有千行代码的脚本页面。
在该事情剖析中，咱们决议集中精力辨认英航公司网站上的每个脚本，验证网站上的一切共同脚本，并在该过程中查看脚本的各种改变行为。终究，咱们捕获到了其间一个脚本modernizr-2.6.2.min.js的改变行为，依据抓取记载显现，该脚本是Modernizr JavaScript库2.6.2的一个更改版文件，英航公司网站的乘客行李招领页面会加载该脚本。modernizr-2.6.2.min.js的加载流程如下：

该脚本显着的改变在其底部代码，这是进犯者惯用的修正JavaScript文件，完结功用损坏意图的技能。其间一些小的脚本标签引起了咱们的留意（红框部分）：

之后，咱们在英航公司网站服务器发送的“服务器头信息”中发现了更多依据，其间的 ‘Last-Modified’ 标明晰文件静态内容的最近一次修正时刻。依据咱们的抓取记载显现，正常的英航公司网站modernizr-2.6.2.min.js文件的头信息中，‘Last-Modified’日期为2012年12月18日。

但在英航公司当时网站的，通过修正的歹意modernizr-2.6.2.min.js文件中，其头信息中的 ‘Last-Modified’ 时刻戳与英航查询后给出的数据走漏时刻点共同-2019年8月21日：

以下是歹意的modernizr-2.6.2.min.js脚本文件图示，它只要22行JavaScript代码，但却让38万乘客数据遭到盗取：

实践来说，该脚本十分简略有用，文件中的每个元素加载完结之后，将会进行以下操作：
用以下回调代码把mouseup和touchend事情绑缚到submitButton按钮上：
用id为paymentForm的方式将数据序列化到一个字典中
用id为personPaying的方式把页面条目序列化，并归类为paymentForm信息，并归入之前的同一个字典中
用这些序列化数据 *** 出一个文本字符串文件
用 *** ON方式把文件数据发送到进犯者架起的baways.com网站
在实践操作中，mouseup和touchend事情代表了在线用户在网页或手机APP中，点击或提交了某个按钮操作，然后铺开鼠标或脱离手机屏幕之后的操作。也就是说，一旦用户点击了英航公司网站或APP进行付款按钮提交之后，其付款表单中的信息将会被歹意代码提取，会仿制一份发送到进犯者的架起服务器baways.com中。

[1] [2]  黑客接单网