British Airways krijgt 22 miljoen euro boete voor groot datalek
Luchtvaartmaatschappij British Airways heeft wegens een groot datalek waarbij de betaalgegevens van gebruikers werden gestolen een boete van omgerekend 22 miljoen euro gekregen. Dat heeft de Britse privacytoezichthouder ICO vandaag bekendgemaakt.
Aanvallers hadden in 2018 een extern script aangepast dat op de website van British Airways draaide. Door de kwaadaardige code die aan het script was toegevoegd konden persoonlijke en betaalgegevens die klanten invoerden naar de aanvallers worden gestuurd. Ruim 420.000 mensen raakten door de aanval gedupeerd. Volgens de ICO zou de aanval in juni 2018 zijn begonnen.
British Airways kwam pas begin september met een waarschuwing, nadat het door een derde partij was gewaarschuwd. In eerste instantie meldde de luchtvaartmaatschappij dat van 380.000 mensen de gegevens waren gestolen, maar dit aantal werd later naar boven bijgesteld. Het ging om de persoonlijke informatie van meer dan 429.000 klanten en medewerkers, waaronder namen, adresgegevens, betaalkaartnummers en CVV-nummers van 244.000 klanten. Bij 77.000 klanten ging het om de gecombineerde kaart- en CVV-nummers. Tevens maakten de aanvallers gebruikersnamen en wachtwoorden buit. Het datalek werd twee maanden lang niet opgemerkt.
Uit onderzoek van de ICO blijkt dat door slechte beveiligingsafspraken bij het bedrijf gegevens konden worden gestolen. Volgens de toezichthouder had British Airways de kwetsbaarheden in de beveiliging moeten vinden en verhelpen met beveiligingsoplossingen die op dat moment beschikbaar waren. Als de luchtvaartmaatschappij dit had gedaan, had de aanval van 2018 niet op die manier kunnen plaatsvinden. Zo werd er geen multifactorauthenticatie toegepast, vonden er geen uitgebreide beveiligingstests plaats en was de toegang van gebruikers tot applicaties, data en tools niet beperkt.
"Het is niet duidelijk of en wanneer British Airways de aanval zelf had ontdekt", zo stelt de ICO. "Dit is vanwege het aantal getroffen mensen een ernstige tekortkoming, aangezien de financiële schade veel groter had kunnen zijn." Naar aanleiding van het onderzoek heeft British Airways verschillende beveiligingsverbeteringen doorgevoerd. Oorspronkelijk was de ICO van plan om een boete van omgerekend 200 miljoen euro op te leggen. De boete van 22 miljoen euro is de hoogste privacyboete die de Britse privacytoezichthouder tot nu toe heeft uitgedeeld.
Maar dat dit volgens jouw did de misconfiguratie kunnen detecteren of de hacker?
En zo nee, waar wordt dit geld dan voor gebruikt? Ik denk dat het publiek wel recht heeft om dat precies in te zien. Aangezien het gaat over geld van boetes voor gestolen data die van hen is.
Maar dat dit volgens jouw did de misconfiguratie kunnen detecteren of de hacker?
Het was dan mogelijk geweest om de veranderingen aan het systeem (server-side) op te merken.
Toen ik developer was bij een webbureau draaiden we daarnaast ook voor klanten een check-service die elke 10 minuten de content van websites controleerden op veranderingen. Indien er een verandering aan de content werd geconstateerd kreeg de klant een sms-je dat de content gewijzigd was. Kost slechts een tientje per maand als ik mij goed herinner.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?