British Airways dataintrång
Under 2018 inträffade ett dataintrång som påverkade 380 000 till 500 000 kunder hos British Airways .
Ge sig på
Informationskommissionärens kontor sa att attacken hade börjat i juni 2018.
ICO hävdade att incidenten ägde rum efter att British Airways webbplats omdirigerades till en falsk sajt. Enligt datasäkerheten Alan Woodward utfördes attacken med största sannolikhet genom en supply chain-attack på ett tredje parts betalningsverktyg som används av webbplatsen. Detta skript skickade den inlämnade betalningsinformationen direkt till angriparna. Brott mot CVV-koder i attackerna stödjer denna teori, eftersom CVV-koder enligt PCI DSS-standarder inte lagras och endast behandlas under den tid som betalningar görs vilket gör tillgång till en databas osannolik.
British Airways sa att attacken påverkade bokningar från den 21 augusti 2018 och den 5 september 2018 med kreditkortsuppgifter för omkring 380 000 totalt kunder som kompromettats. Angriparna fick namn, gatuadresser, e-postadresser, kreditkortsnummer, utgångsdatum och kortsäkerhetskoder - tillräckligt för att tillåta tjuvar att stjäla från konton. 77 000 kunder fick sitt namn, adress, e-postadress och detaljerad betalningsinformation, medan 108 000 personer fick personliga uppgifter som inte inkluderade CVV-nummer.
En kund till flygbolaget rapporterade att hans kort hade använts för att köpa föremål per telefon på Harrods medan han var i Malaysia . Försöket avslogs - kunden trodde inte att hans kort var exponerat utom genom denna attack.
Verkningarna
British Airways uppmanade kunderna att kontakta sina banker eller kreditkortsutgivare och följa deras råd. NatWest sa att de fick fler samtal än vanligt på grund av intrånget. American Express sa att kunder inte skulle behöva vidta några åtgärder och att de skulle varna kunder med ovanlig aktivitet på sina kort.
Konsekvenser för British Airways
British Airways ålades 183 miljoner pund i böter av Information Commissioner's Office, vilket var det största bötesbeloppet som utfärdats av kontoret fram till detta datum. Det var ungefär 367 gånger det tidigare rekordet, vilket var böter på 500 000 pund som ålades Facebook på grund av Cambridge Analytica- skandalen.
Facebook-boten var den tyngsta som kunde ha utdömts vid den tiden – en ny lag som speglar GDPR hade införts mellan Facebook- och British Airways-skandalerna. Böterna var 1,5 % av flygbolagets globala omsättning 2017. Maximalt skulle enligt de nya lagarna ha varit 4 % av den globala omsättningen, vilket skulle ha närmat sig 500 miljoner pund.
VD och ordförande Álex Cruz sa att flygbolaget var "förvånad och besviken" över ICO:s upptäckt.
I oktober 2020 bötfälldes British Airways 29 miljoner pund av informationskommissionärens kontor, betydligt mindre än de böter på 183 miljoner pund som ICO ursprungligen avsåg.