ब्रिटिश एयरवेज़ डेटा उल्लंघन के सबक पहले से कहीं ज़्यादा समयोचित क्यों हैं?

ब्राउज़र सप्लाई चेन अटैक - जिसमें अंतिम उपयोगकर्ताओं के वेब ब्राउज़र में चलने वाली थर्ड-पार्टी स्क्रिप्ट में दुर्भावनापूर्ण एक्सप्लॉइट इंजेक्ट किए जाते हैं - एक कम-सराहा गया और कम-सुरक्षित खतरा बना हुआ है, भले ही उनका प्रचलन लगातार बढ़ रहा हो। ब्रिटिश एयरवेज डेटा ब्रीच की चेतावनी भरी कहानी पहली बार यह दिखाने वाली थी कि ब्राउज़र-साइड अटैक कितने विनाशकारी हो सकते हैं। एयरलाइंस एक लोकप्रिय लक्ष्य बनी हुई हैं, जिसमें ईज़ीजेट और एयर यूरोपा इसी तरह के हमले झेल रहे हैं। लेकिन वे अकेले नहीं हैं। हाल ही में, बीमा दिग्गज कैसर परमानेंट ने तीसरे पक्ष के ब्राउज़र स्क्रिप्ट से उत्पन्न डेटा ब्रीच की सार्वजनिक रूप से घोषणा की , जिसने लाखों मौजूदा और पूर्व बीमा सदस्यों को प्रभावित किया।

इस खतरे से बचाव करना इंजीनियरों के लिए पहले से कहीं ज़्यादा ज़रूरी है, और ब्राउज़र सप्लाई चेन उल्लंघनों के जोखिम को नज़रअंदाज़ करने वाले संगठन अपने जोखिम पर ऐसा करते हैं। यहाँ बताया गया है कि ब्रिटिश एयरवेज़ की घटना अभी भी उद्यम साइबर सुरक्षा रणनीति के लिए इतनी प्रासंगिक क्यों है, और इसी तरह के खतरों से बचाव के लिए क्या किया जा सकता है।

हमलावरों ने सुरक्षा खामियों का फायदा उठाया

ब्रिटिश एयरवेज ब्रीच में, कोई भी ग्राहक जिसने आधिकारिक ब्रिटिश एयरवेज वेबसाइट पर खरीदारी करने के लिए अपनी क्रेडिट कार्ड जानकारी दर्ज की थी, उस संवेदनशील डेटा को कॉपी कर लिया गया था और दुर्भावनापूर्ण ब्राउज़र-साइड स्क्रिप्ट द्वारा हमलावर-नियंत्रित डोमेन पर भेज दिया गया था। जब तक एयरलाइन ने इस मुश्किल-से-पता लगाने वाले खतरे को आखिरकार नोटिस किया, तब तक 400,000 से अधिक ग्राहकों का व्यक्तिगत डेटा उजागर हो चुका था, जिसके कारण यूके के सूचना आयुक्त कार्यालय (ICO) में नियामकों द्वारा रिकॉर्ड 183 मिलियन पाउंड से अधिक का जुर्माना लगाया गया।

इस घटना की शुरुआत एक शुरुआती घुसपैठ से हुई थी, जिसमें हमलावरों ने कार्गो सेवा प्रदाता स्विसपोर्ट के एक कर्मचारी के चुराए गए क्रेडेंशियल का उपयोग करके ब्रिटिश एयरवेज के सिस्टम में लॉग इन किया था। उस खाते में मल्टी-फैक्टर ऑथेंटिकेशन सुरक्षा का अभाव था, जिससे हमलावरों को सिट्रिक्स रिमोट एक्सेस वातावरण में लॉग इन करने और नेटवर्क के सुरक्षित क्षेत्रों तक दूरस्थ उपयोगकर्ताओं को सीमित करने के लिए प्रतिबंधों से परे अपनी पहुंच बढ़ाने की अनुमति मिल गई।

इसके बाद हमलावरों ने अतिरिक्त कमज़ोरियों के लिए पूरे नेटवर्क की जांच करने के लिए उपकरण पेश किए; उन्होंने जल्द ही एक अनएन्क्रिप्टेड प्लेन टेक्स्ट फ़ाइल की खोज की जिसमें डोमेन व्यवस्थापक के लॉगिन क्रेडेंशियल शामिल थे। इसने हमलावरों को डोमेन में कंप्यूटर और सर्वर तक पहुँचने, कॉन्फ़िगरेशन सेटिंग्स बदलने और नेटवर्क संसाधनों में हेरफेर करने का खुला दरवाज़ा दिया। उन्होंने सर्वर में लॉग इन करना शुरू किया, अगले दिन डेटाबेस व्यवस्थापक के लॉगिन क्रेडेंशियल खोजे, और अपने खाली समय में धैर्यपूर्वक उपलब्ध डेटा का पता लगाना जारी रखा।

हमलावरों को 108,000 भुगतान कार्डों के विवरण वाली लॉग फ़ाइलें मिलीं, जो सभी सादे पाठ में संग्रहीत थीं। परीक्षण सुविधा के गलती से चालू रह जाने का परिणाम, वह डेटा कभी संग्रहीत नहीं किया जाना चाहिए था, और निश्चित रूप से पूरी तरह से असुरक्षित नहीं छोड़ा जाना चाहिए था। हमलावरों ने तब ऐसी फ़ाइल खोजी जिसमें ब्रिटिश एयरवेज की साइट का कोड शामिल था, जिससे उन्हें अपने ब्राउज़र सप्लाई चेन हमले की तैयारी के लिए सभी अवसर मिल गए।

ब्राउज़र सप्लाई चेन हमले की संरचना को समझना

अपनी रणनीति के मुख्य केंद्र बिंदु के रूप में, हमलावरों ने baways dot com खरीदा, जो एक उपलब्ध डोमेन नाम है जिसे आसानी से कंपनी से संबंधित आधिकारिक वेब पते के रूप में गलत समझा जा सकता है। जबकि डोमेन ने लिथुआनियाई होस्टिंग प्रदाता का उपयोग किया था और रोमानिया से होस्ट किया गया था, ब्रिटिश एयरवेज के पास सुरक्षा कर्मियों को सचेत करने में सक्षम निगरानी नहीं थी कि कुछ गड़बड़ है।

आधुनिक वेबसाइट विकास उपयोगकर्ताओं की अपेक्षा के अनुसार अन्तरक्रियाशीलता और उन्नत क्षमताओं को सक्षम करने के लिए तृतीय-पक्ष स्रोतों से कई स्क्रिप्ट का उपयोग करता है। तृतीय-पक्ष स्क्रिप्ट द्वारा संचालित सुविधाओं के उदाहरणों में चैटबॉट से लेकर मार्केटिंग और एनालिटिक्स टूल से लेकर कैप्चा जैसे सुरक्षा उपाय तक सब कुछ शामिल है। लेकिन इन स्क्रिप्ट की निगरानी और सुरक्षा करना कंपनियों के लिए विशेष रूप से चुनौतीपूर्ण है, क्योंकि अक्सर उन्हें बाहरी रूप से होस्ट और प्रबंधित किया जाता है। तृतीय-पक्ष विक्रेता की ओर से एक साधारण भेद्यता या त्रुटि सुरक्षा घटना का कारण बन सकती है। ऐसे परिदृश्यों में जहां ऐसे विक्रेताओं के पास सुरक्षित कोड देने की विशेषज्ञता नहीं होती है - या जहां व्यवसाय और कार्मिक परिवर्तन अप्रबंधित और अप्रबंधित स्क्रिप्ट की ओर ले जाते हैं - जोखिम अत्यधिक हो सकते हैं।

उल्लंघन के समय, ब्रिटिश एयरवेज की वेबसाइट ने लगभग 20 थर्ड-पार्टी स्क्रिप्ट (बुकिंग पेज सहित 30) लोड कीं। साइट विज़िटर के ब्राउज़र को साइट से बाहरी स्रोतों से कोड प्राप्त करने और निष्पादित करने के लिए अनुरोध प्राप्त हुए। यह मानक अभ्यास है, और ब्राउज़र यह तय करने के लिए डिज़ाइन नहीं किए गए हैं कि स्क्रिप्ट या वे एंडपॉइंट्स जिन्हें वे डेटा भेजते हैं, वैध हैं या नहीं। हमलावरों ने मॉडर्नाइज़र जावास्क्रिप्ट लाइब्रेरी में दुर्भावनापूर्ण कोड डाला, जो एक सामान्य स्क्रिप्ट है जो अनुभवों को अनुकूलित करने के लिए ब्राउज़र सुविधाओं का पता लगाने में मदद करती है। ब्रिटिश एयरवेज वेब सर्वर द्वारा प्रस्तुत स्क्रिप्ट के इस समझौता किए गए संस्करण ने हमलावर की साइट पर किसी भी ग्राहक द्वारा सबमिट किए गए डेटा की एक प्रति भेजी।

इस तरह, लगभग तीन सप्ताह तक, ब्रिटिश एयरवेज की वेबसाइट पर दर्ज सभी भुगतान कार्ड की जानकारी हमलावरों द्वारा चुरा ली गई। उस समय ग्राहक पूरी तरह से अनजान रहे, भले ही यह उनके अपने ब्राउज़र थे जिन्होंने उनकी संवेदनशील जानकारी भेजी थी। हमलावर सामान्य वेब अनुभव और विलंबता को बरकरार रखने के लिए चतुर थे, जिससे हफ्तों तक उपयोगकर्ताओं और सुरक्षा कर्मियों दोनों के लिए उनकी डेटा चोरी पारदर्शी रही।

जब एक तीसरे पक्ष ने आखिरकार ब्रिटिश एयरवेज को उल्लंघन के बारे में हफ्तों बाद पहचाना और सूचित किया, तो कंपनी ने सब कुछ सही किया। दो घंटे से भी कम समय में, सुरक्षा टीम ने दुर्भावनापूर्ण कोड को बेअसर कर दिया और नकली वेबसाइट को ब्लॉक कर दिया। ग्राहकों, भुगतान संसाधित करने वाले बैंकों और ICO को तुरंत सूचना मिल गई। लेकिन नुकसान हो चुका था। एयरलाइन की प्रतिष्ठा को झटका लगा, रिकॉर्ड-सेटिंग विनियामक जुर्माना लगाया गया और बाद में सामूहिक कार्रवाई के मुकदमों का निपटारा अदालत से बाहर हो गया। हालाँकि बाद में कंपनी की त्वरित जवाबदेही (और महामारी राहत के साथ सहयोग) के मद्देनजर जुर्माना कम कर दिया गया था, यह एक ऐसा प्रकरण था जिससे कोई भी उत्सुकता से बचना चाहेगा।

आने वाले खतरों का अग्रदूत

स्पष्ट रूप से, इस घटना में ब्रिटिश एयरवेज की सुरक्षा में कोई कमी निकालना मुश्किल है: तीसरे पक्ष की स्क्रिप्ट के माध्यम से डिलीवर किए गए दुर्भावनापूर्ण पेलोड के साथ ब्राउज़र सप्लाई चेन हमलों का विश्वसनीय रूप से पता लगाने के लिए आवश्यक उपकरण तब उपलब्ध नहीं थे। उसी समय, मैजकार्ट हमले (17,000 साइटों को प्रभावित करने वाले) जैसी बाद की घटनाओं ने प्रदर्शित किया कि हैकर्स को एक ऐसी कमजोरी मिल गई जो उन्हें पसंद थी। आज भी, अधिकांश संगठनों की सुरक्षा मुद्राओं में इन हमलों की दृश्यता का अभाव है। जबकि सामान्य आईटी सुरक्षा सुरक्षा अब अभूतपूर्व ध्यान आकर्षित करती है, ब्राउज़र सप्लाई चेन हमलों का बढ़ता खतरा काफी हद तक कम-सुरक्षित है, या केवल न्यूनतम अनुपालन आवश्यकताओं तक ही सीमित है।

हालाँकि, अब सुरक्षा क्षमताएँ मौजूद हैं जो टीमों को इन हमलों के खिलाफ़ मज़बूत सुरक्षा प्रदान करती हैं। प्रभावी ब्राउज़र सप्लाई चेन सुरक्षा के लिए ज़रूरी है कि थर्ड-पार्टी स्क्रिप्ट की सामग्री की निगरानी और लगातार जाँच की जा सके , दुर्भावनापूर्ण स्क्रिप्ट को तुरंत हटाने के लिए डिज़ाइन की गई रणनीतियों का लाभ उठाया जा सके। इन हमलों की गतिशील प्रकृति को देखते हुए, एक बार की समीक्षा या निगरानी जो केवल स्क्रिप्ट के स्रोत की जाँच करती है, बस पर्याप्त नहीं है। ऐसा कहा जाता है कि टीमों को सबसे सुरक्षित थर्ड-पार्टी स्रोत चुनना चाहिए, जबकि उस भरोसे को लगातार सत्यापित करना चाहिए। टीमों को अच्छी सुरक्षा स्वच्छता का भी अभ्यास करना चाहिए और उन सभी पेजों से सेवाओं और स्क्रिप्ट को सक्रिय रूप से हटाकर अपने वातावरण को सख्त बनाना चाहिए, जहाँ उनकी ज़रूरत नहीं है - खासकर भुगतान पोर्टल जैसे संवेदनशील पेजों पर।

तत्काल सुरक्षा आवश्यकता

जैसे-जैसे वेबसाइटें उपयोगकर्ताओं के ब्राउज़रों में आधुनिक अनुभव लाने के लिए अधिक से अधिक तृतीय-पक्ष स्क्रिप्ट का उपयोग करती हैं, हमलावरों को और अधिक अवसर मिलेंगे। टीमें ब्रिटिश एयरवेज जैसे हमलों से सबक सीख सकती हैं और अपने ब्राउज़र आपूर्ति श्रृंखलाओं को पूरी तरह से सुरक्षित करने के लिए अभी कदम उठा सकती हैं, या उन्हें कठिन तरीके से सीख सकती हैं।