San Francisco International Airport waarschuwt voor mogelijke inloggegevens

De pandemie van COVID-19 heeft een breed scala aan industrieën getroffen, maar het is redelijk om te zeggen dat maar weinig bedrijfssectoren zoveel hebben geleden als vliegreizen. Het aantal passagiers is begrijpelijkerwijs gedaald en luchtvaartmaatschappijen en luchthavens hebben te maken met onverwachte problemen, zoals het vinden van parkeerplaatsen voor alle vliegtuigen aan de grond. Iedereen in de sector wacht met spanning op het einde van de crisis en denkt erover na hoe ze alles weer normaal zullen krijgen als het allemaal voorbij is. Op de San Francisco International Airport (SFO) hebben ze echter nog een ander probleem.

De internationale luchthaven van San Francisco heeft een cyberaanval ondergaan

Op 7 april publiceerde SFO zonder veel tamtam een aankondiging van een datalek waarin stond dat de luchthaven het doelwit was van een cyberaanval. Volgens de informatie hebben aanvallers in maart een aantal websites van SFO, SFOConnect.com en SFOConstruction.com, gecompromitteerd en er een aantal schadelijke code in geïnjecteerd.

Op het eerste gezicht is de malware nogal gevaarlijk. Volgens de melding konden hackers niet alleen gegevensgebruikers stelen die op de besmette websites waren ingevoerd, maar ook inloggegevens waarmee de persoonlijke apparaten van de slachtoffers werden ontgrendeld.

De conclusies die we uit het incident kunnen trekken

Het moet gezegd worden dat de aankondiging vrij kort is, en het is niet bepaald boordevol details. Er staat bijvoorbeeld niet hoeveel mensen er door getroffen zouden kunnen zijn. Het is ook onduidelijk wanneer de code is geïnjecteerd en wanneer deze is ontdekt. Wat we wel weten, is dat het probleem op 23 maart werd verholpen toen SFO de code verwijderde en enkele interne wachtwoorden reset.

Bitdefender behandelde het verhaal en probeerde enkele hiaten in te vullen. Volgens het beveiligingsbedrijf is een van de websites, SFOConstruction.com, gerelateerd aan een SFO-bouwproject dat momenteel aan de gang is. Vanwege de aanval is de website afgebroken en vanaf het moment van schrijven is deze nog steeds in onderhoud. Het andere doel, SFOConnect.com, is een gateway voor werknemers die nieuws en andere bronnen biedt aan mensen die op de luchthaven werken. Met andere woorden, het aantal potentiële slachtoffers is niet zo groot en wordt verder beperkt door het enige stuk technische informatie dat we kunnen vinden in de kennisgeving van datalekken.

Volgens dit zouden gebruikers alleen kunnen zijn getroffen als ze via Internet Explorer toegang hebben gekregen tot de besmette websites van buiten het SFO-netwerk op Windows-computers. Nogmaals, er zijn absoluut geen verdere details, maar we kunnen hieruit afleiden dat de geïnjecteerde code misbruik heeft gemaakt van een kwetsbaarheid in de oude en berucht onveilige webbrowser van Microsoft.

Al met al was dit niet de belangrijkste aanval ter wereld. De hoofdwebsite van SFO bleef ongedeerd en volgens StatCounter bedraagt het marktaandeel van Internet Explorer vanaf maart 2020 minder dan 4%, wat aantoont dat de meeste gebruikers veilig waren. De aanval mag echter niet worden onderschat.

Volgens Bitdefender is het niet onredelijk om aan te nemen dat de hackers hebben ingebroken na phishing van de inloggegevens van een SFO-medewerker. De IT-experts van de luchthaven moeten nadenken over wat ze kunnen doen om dit te voorkomen. Als het toch gebeurt, moeten ze ervoor zorgen dat het verslag dat ze geven het grote publiek een duidelijker beeld geeft van wat er mis is gegaan en waarom.