Attacks Blog

O Ataque à British Airways em 2018 - A História Completa

O ataque à British Airways em 2018 afetou 429.612 pessoas. Veja por que a cside comprou o domínio do atacante para transformá-lo em uma lição sobre segurança web moderna.

Dec 15, 2025 • 8 min read

Simon Wijckmans Founder & CEO

O Ataque à British Airways em 2018 - Análise Completa do Ataque - cside

Resumo

Em 2018, ao obter as credenciais de um contratado da British Airways, agentes maliciosos conseguiram modificar um script executado no lado do cliente para exfiltrar dados de cartões de crédito para um endpoint controlado por eles — esse domínio é baways[.]com, que pertence à cside desde 2024.
No domínio baways[.]com você pode ler, com todos os detalhes, uma linha do tempo objetiva dos eventos e suas consequências.
Após o incidente, o ICO pretendia multar a British Airways em £183 milhões, mas a multa foi posteriormente reduzida para £20 milhões. Na época, a British Airways enfrentava dificuldades em razão da Covid-19, o que pode ter contribuído para a redução da penalidade.
Após esse incidente e muitos outros semelhantes, o PCI DSS (Payment Card Industry Data Security Standard) atualizou seus requisitos para incluir monitoramento, proteção e documentação de scripts no lado do cliente.
Hoje, há mais soluções no mercado para ajudar a prevenir esse tipo de incidente, mas a qualidade das abordagens varia significativamente.

Por que compramos o baways[.]com

Porque podíamos. Surpreendentemente, mesmo que muitos fornecedores falassem sobre o ataque o tempo todo, o domínio utilizado no ataque expirou e ficou disponível para venda no mercado público pela taxa padrão da ICANN de $10,44 por ano.

Ao longo dos anos, e por meio das páginas de marketing dos fornecedores, o que estava sendo escrito deixou de estar alinhado com os fatos. Por isso, decidimos reunir as evidências, documentos judiciais, comunicados de imprensa e páginas arquivadas uma última vez e publicar tudo em um relatório consolidado. No próprio domínio que foi usado no ataque.

Chegamos até a contratar um ex-jornalista para ajudar na pesquisa.

Linha do tempo do ataque à British Airways:

22 de junho de 2018: Um atacante acessa a rede da British Airways usando credenciais roubadas de um funcionário da Swissport (uma contratada de serviços de carga). A conta não tinha autenticação multifator.

23 a 26 de junho de 2018: O atacante vasculha o ambiente. Encontra algo alarmante: credenciais de administrador de domínio armazenadas em texto simples. Simplesmente em um arquivo. Sem criptografia.

26 de julho de 2018: O atacante descobre arquivos de log contendo dados de cartões de pagamento. Também em texto simples. Esses dados vinham de um recurso de teste que nunca deveria ter ido para produção.

21 de agosto a 5 de setembro de 2018: O ataque entra em operação. Por 16 dias, todo cliente que inseriu dados de pagamento no site da BA teve suas informações copiadas e enviadas para baways[.]com.

5 de setembro de 2018: A British Airways é notificada por um terceiro. O ataque é encerrado em 90 minutos.

Como o ataque à British Airways funcionou

O atacante injetou código malicioso no Modernizr, uma biblioteca JavaScript comum que ajuda sites a funcionar em diferentes navegadores. A British Airways estava servindo essa versão comprometida a todos os seus clientes.

O script malicioso aguardava os clientes clicarem no botão de confirmação do pagamento
Ele capturava todos os dados de pagamento e informações pessoais do formulário
Enviava esses dados para baways[.]com (que parecia legítimo, já que a BA usa "BA" em seu marketing)
Tudo acontecia silenciosamente em segundo plano
O processo normal de pagamento continuava sem nenhum problema

Por que o ataque à British Airways não foi detectado pela segurança de rede

O ataque aconteceu sem deixar rastros visíveis. A única forma de perceber que algo fora do comum estava ocorrendo era nas ferramentas de desenvolvedor do navegador, na aba de rede, no momento em que os dados eram enviados.

O ataque também afetou o aplicativo móvel, que executava uma webview da aplicação web. A própria webview não tinha painel de ferramentas de desenvolvedor, portanto, no aplicativo móvel absolutamente nenhum rastro visível foi deixado.

Teria sido extremamente difícil, senão impossível, para os clientes perceberem que seus dados estavam sendo roubados.

Análise do Aviso de Penalidade Monetária do ICO

O impacto

Nos procedimentos judiciais, o ICO (Information Commissioner's Office) divulgou os números completos.

Categoria	Número de Afetados
Dados completos do cartão expostos	244.000
Cartão + CVV expostos	77.000
Apenas números de cartão	108.000
Contas do BA Executive Club	612
Total de pessoas afetadas	429.612

O ICO inicialmente propôs uma multa de £183,39 milhões. Após negociações, o devido processo legal e o escrutínio financeiro causado pela COVID-19 sobre a British Airways, a multa foi reduzida para £20 milhões.

A British Airways sofreu perdas significativas e o CEO da época foi obrigado a pedir desculpas publicamente, garantindo que os clientes afetados seriam compensados.

A multa não é o único impacto financeiro. Diversas ações coletivas se seguiram; fontes públicas estimam danos entre £2.000 e £6.000 por requerente. Com mais de 16.000 vítimas representadas em apenas uma ação judicial, o impacto financeiro total provavelmente superou a multa regulatória, sem nem considerar o impacto comercial do dano à reputação da marca British Airways.

Por que esse incidente ainda importa em 2025

O problema só cresceu. A postura de segurança das aplicações web está centrada em ações voltadas para a infraestrutura web. Novas atenções são dedicadas ao monitoramento de dependências estáticas de código aberto e à adoção de IA nas empresas. Mas desenvolvedores web e equipes de segurança ainda não sabem — nem têm ferramentas confiáveis — para verificar como suas aplicações web e suas dependências, como ferramentas de marketing e pacotes de código aberto, se comportam nos navegadores.

O monitoramento de runtime no lado do cliente teria prevenido o ataque à British Airways

Este é um vetor de ataque altamente dinâmico, portanto a única solução real para a ameaça de segurança é a análise ativa em tempo de execução. A pressão por conformidade regulatória levou algumas empresas a adotar ferramentas de checklist que usam scanners/crawlers ou abordagens sem agente. Essas abordagens são facilmente contornadas pelo agente malicioso, que simplesmente não serve os payloads maliciosos para essas ferramentas.

A segurança real de runtime no lado do cliente ainda não é uma prioridade elevada. Os agentes maliciosos estão cientes disso, com ataques no lado do cliente significativamente complexos acontecendo diariamente. Alguns casos recentes de grande destaque incluem o ataque ao Bybit, o ataque ao CoinMarketCap e o ataque ao Polyfill em 2024, que visou mais de 490.000 sites usando um script semelhante ao Modernizr.

A cadeia de suprimentos no lado do cliente apresenta desafios extras significativos. Cada requisição a um servidor de terceiros pode gerar uma resposta dinâmica e diferente. A análise constante é custosa, mas é a única forma de gerenciar a postura de segurança.

O que mudou após o incidente com a British Airways

Na época do incidente com a British Airways, muitos incidentes semelhantes ocorreram, como a violação do Ticketmaster e o ataque ao Newegg. Mastercard, Visa e American Express divulgaram que a maior quantidade de dados de cartões de crédito é roubada atualmente por meio de scripts maliciosos no lado do cliente. Por isso, a resposta foi ajustar o framework de conformidade PCI DSS para incluir segurança no lado do cliente em 2 novos requisitos de conformidade: 6.4.3 e 11.6.1. Escrevemos um post detalhado sobre eles aqui.

Após o ajuste no PCI DSS, outros frameworks do setor esclareceram seus requisitos em relação à segurança da cadeia de suprimentos para incluir dependências executadas no lado do cliente. Incidentes como o vazamento de dados da Kaiser Permanente desencadearam atualizações na HIPAA.

Está se tornando cada vez mais um requisito básico adotar soluções de segurança de runtime no lado do cliente para monitorar as ações do site. No entanto, cada requisito de conformidade exige evidências em seu próprio formato — alguns mais centrados no uso de cookies, outros mais focados em fluxos de dados. Com uma solução como a cside, porém, isso se torna muito simples.

Como a cside ajuda

A cside oferece uma abordagem altamente flexível para segurança no lado do cliente. Seja monitorando comportamentos de scripts no lado do cliente e analisando os scripts de forma mais aprofundada em nosso ambiente por meio de relatórios no lado do cliente em nosso motor, a cside obtém o quadro completo. Ela analisa o código das dependências servidas em tempo real, ajudando você a evitar que comportamentos indesejados causem grandes impactos nos negócios.

Nossa abordagem nos permite não apenas identificar ataques avançados e altamente direcionados e emitir alertas sobre eles — a cside também torna possível bloquear ataques antes que eles cheguem ao navegador do usuário. Ela também atende aos requisitos de múltiplos frameworks de conformidade, incluindo PCI DSS 4.0.1, HIPAA, GDPR, CPRA... Fornecemos ainda análise forense aprofundada, inclusive quando um atacante tenta contornar nossas detecções. Armazenamos dados sobre ataques não detectados, o que nos permite aprimorar continuamente nossas detecções. Dando a você o controle necessário em um formato fácil de usar. Lidando com as limitações dos navegadores, sabemos que esta é a forma mais segura de monitorar e proteger suas dependências em todo o seu site. Passamos anos no espaço de segurança no lado do cliente antes de fundar a cside. Conhecemos as limitações dos navegadores e investimos tempo contribuindo com organismos de padronização para tornar as capacidades de segurança nativamente suportadas, melhores e mais fáceis de usar.

Cadastre-se ou agende uma demonstração para começar.

O que fazer a partir daqui

Se você ficou intrigado com a história, confira o micro-site interativo em baways[.]com. Fizemos um esforço especial para apresentar a história em um formato atraente — esperamos que você aproveite.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

A violação de dados da British Airways foi um ataque de skimming de cartões de pagamento em larga escala executado no navegador dos visitantes, ocorrido em 2018. Os atacantes injetaram JavaScript malicioso no site e no aplicativo móvel da British Airways, utilizando o script para capturar os dados do cartão de pagamento diretamente dos campos de entrada. O ataque ficou ativo por 16 dias e 429.612 registros de pagamento de clientes foram comprometidos sem qualquer interrupção visível nas operações normais do site. O Information Commissioner's Office do Reino Unido inicialmente propôs uma multa de £183 milhões, que foi posteriormente reduzida para £20 milhões.

A cside adquiriu o domínio baways[.]com no mercado público por $10 após o domínio expirar na sequência do ataque. Compramos o domínio para transformá-lo em um recurso educacional. O site agora hospeda uma análise técnica detalhada da violação para ajudar outras empresas a entender e se proteger contra ataques semelhantes. O fato de termos conseguido comprar um domínio anteriormente usado em um grande ciberataque em um registro público evidencia os riscos de segurança contínuos relacionados a domínios expirados. Mas isso também mostra como a cside se preocupa com esses incidentes de forma única — estamos empenhados em evitar que situações semelhantes se repitam e vamos além das abordagens disponíveis no mercado. Nossos esforços não se limitam a palavras e materiais de marketing.

Os atacantes utilizaram credenciais roubadas de um contratado terceirizado chamado Swissport, um prestador de serviços de carga. A conta comprometida não tinha autenticação multifator habilitada. Uma vez dentro, os atacantes descobriram credenciais de administrador de domínio armazenadas em texto simples em um arquivo não criptografado, o que lhes deu acesso para modificar arquivos no servidor web e injetar código malicioso no site da British Airways.

A violação expôs dados completos de cartões de pagamento, incluindo:

• Números CVV de 244.000 pessoas,

• Dados do cartão e CVV de 77.000 pessoas,

• E apenas números de cartão de 108.000 pessoas.

Além disso, nomes de usuário e senhas de contas de funcionários e administradores da BA foram comprometidos, assim como nomes de usuário e PINs de até 612 contas do BA Executive Club. No total, aproximadamente 429.612 pessoas foram afetadas.

O Information Commissioner's Office do Reino Unido inicialmente propôs uma multa de £183,39 milhões, que foi a maior multa do GDPR já proposta até então. Após negociações e consideração do impacto financeiro da COVID-19 sobre a indústria aérea, a multa final foi reduzida para £20 milhões. A British Airways também enfrentou múltiplas ações coletivas com danos estimados entre £2.000 e £6.000 por requerente.

Magecart é um termo coletivo para grupos de cibercriminosos especializados em ataques de skimming de cartões via web. O nome tem origem em ataques que visavam o framework de eCommerce Magento. Por meio de vulnerabilidades no lado do servidor, agentes maliciosos injetavam código malicioso em sites de e-commerce para roubar dados de cartões de pagamento diretamente dos navegadores dos clientes. A violação da British Airways é atribuída a técnicas do Magecart. O mesmo grupo foi responsável por ataques semelhantes ao Ticketmaster, Newegg e centenas de outros sites de eCommerce no mesmo período.

As empresas devem revisar proativamente todos os scripts de terceiros em execução em seus sites e remover aqueles que não são essenciais. As equipes de marketing frequentemente têm a capacidade de adicionar scripts ao site sem o conhecimento da equipe de segurança, o que gera incidentes graves. As páginas de pagamento devem ser reduzidas ao mínimo de scripts necessários. O monitoramento contínuo do comportamento dos scripts é fundamental, pois revisões de segurança periódicas não são suficientes para código que pode mudar a qualquer momento e se comportar de forma diferente em continentes, navegadores ou horários distintos. Usar uma solução gerenciada que monitore continuamente scripts de terceiros permite detectar alterações maliciosas antes que elas cheguem aos seus clientes. O PCI DSS 4.0.1 agora exige esse tipo de controle nos requisitos 6.4.3 e 11.6.1.

O PCI DSS 4.0.1 é a versão mais recente do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento. O padrão se aplica a todos que aceitam, interagem ou armazenam informações de cartões de pagamento, tanto no mundo físico quanto online. Os novos requisitos visam especificamente ataques no lado do cliente, como o utilizado contra a British Airways. A seção 6.4.3 exige a manutenção de um inventário de todos os scripts em execução nas páginas de pagamento. A seção 11.6.1 exige monitoramento contínuo e detecção de adulteração de scripts, não apenas auditorias periódicas. Esses requisitos essencialmente determinam a presença de um guarda de segurança digital monitorando as páginas de pagamento 24 horas por dia.

Sim. O vetor de ataque que comprometeu a British Airways ainda está amplamente desprotegido na maioria das organizações. Embora as empresas tenham melhorado suas defesas contra ataques externos com firewalls e sistemas de detecção de intrusão, scripts de terceiros em execução nos navegadores dos clientes continuam sendo um ponto cego. Ataques semelhantes ao da British Airways acontecem regularmente. Em um caso documentado, 17.000 sites foram comprometidos por meio de uma única exploração. O ataque ao Polyfill em 2024 visou mais de 490.000 sites usando a mesma abordagem geral. E mais recentemente há um aumento nos ataques direcionados ao lado do cliente, como um recente ao CoinMarketCap em 2025.

A cside monitora, otimiza e protege todos os scripts de terceiros em execução no seu site, posicionando-se entre seus usuários e os serviços de terceiros. Se um script de terceiro servir um payload diferente ou malicioso, a cside o detecta em tempo real. Ao contrário de ferramentas baseadas em scanners que veem apenas snapshots periódicos, a cside analisa os scripts conforme eles são executados para usuários reais, capturando ataques direcionados que escapam das ferramentas de segurança tradicionais. A cside também fornece análise forense completa de payloads e ajuda a atender aos requisitos de conformidade do PCI DSS 4.0.1, legislações estaduais dos EUA e regulamentações globais de privacidade.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura com impressão digital, janelas de navegador e linhas de rede

Como agentes OpenClaw burlam a deteccao de bots (e como impedi-los)

Agentes OpenClaw combinados com ferramentas de navegador furtivo podem burlar a deteccao de bots legada. Entenda como a fraude agentica funciona e como o fingerprinting do navegador ajuda a impedi-la.

Por Dentro do Coruna - Exploit iOS via Web Script

Seu site pode ter sido usado para distribuir este kit de exploit para iOS sem que você soubesse. Uma análise técnica completa do Coruna: cinco cadeias de exploit, 23 CVEs e a infraestrutura de entrega que transforma qualquer site em um vetor de ataque em potencial.

Capa do Blog - Descoberta de Ameaça msclairty - cside

"Microsoft Clairty" Não É o Microsoft Clarity: Desofuscando um Script de Fraude em Anúncios com Typosquatting

A cside identificou uma nova injeção maliciosa no lado do cliente originada de uma extensão de navegador maliciosa que se passa pelo Microsoft Clarity e sobrescreve tokens de referência para redirecionar receita de afiliados a um agente malicioso.

O Ataque à British Airways em 2018 - A História Completa

O ataque à British Airways em 2018 afetou 429.612 pessoas. Veja por que a cside comprou o domínio do atacante para transformá-lo em uma lição sobre segurança web moderna.