Volgens RiskIQ zouden de cybercriminelen behoren tot de Magecart-bende, een groep cybercriminelen die gespecialiseerd is in het digitaal skimmen van kredietkaartgegevens op websites die gebruikmaken van Magento, een bekend pakket voor e-commerce. Uit de analyse van RiskIQ blijkt dat de aanvallers met niet meer dan 22 regels JavaScript, die werd toegevoegd aan de BA-website, hun slag konden slaan.
Meer specifiek ging het om een script op het deel van de website waar bagageclaims werden afgehandeld, waar een verdachte aanpassing werd gevonden in de Modernizr-bibliotheek voor JavaScript. De betaaldata die werden gestolen, werden dan doorgestuurd naar het domein BAways.com, dat in handen was van de hackers. Volgens RiskIQ was de aanval hoogst gespecialiseerd en goed voorbereid en hadden de cybercriminelen waarschijnlijk al lang voor de aanval begon toegang tot de reguliere en mobiele website van British Airways.
RiskIQ waarschuwt al sinds 2015 voor aanvallen van Magecart. De groep zou ook verantwoordelijk zijn voor de digitale inbraak bij ticketverkoper Ticketmaster, eind juni van dit jaar. Daarbij werd kwaadaardige software gebruikt op een systeem voor klantenservice die door een derde partij werd gehost. Dat is wel een verschil met de BA-inbraak, daar werden de BA-systemen rechtstreeks aangevallen. Bij Ticketmaster werden kredietkaartgegevens van ongeveer vierhonderdduizend mensen gestolen. Naast de inbraak bij Ticketmaster wordt Magecart ook verantwoordelijk gehouden voor hacks bij nog zo’n achthonderd webwinkels, waaronder het sportmerk Everlast, de boekenuitgeverij Faber & Faber en het modebedrijf Rebecca Minkoff.
Om te kunnen beoordelen moet u ingelogd zijn: