Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

British Airways krijgt 22 miljoen euro boete voor groot datalek

vrijdag 16 oktober 2020, 14:59 door Redactie, 4 reacties

Luchtvaartmaatschappij British Airways heeft wegens een groot datalek waarbij de betaalgegevens van gebruikers werden gestolen een boete van omgerekend 22 miljoen euro gekregen. Dat heeft de Britse privacytoezichthouder ICO vandaag bekendgemaakt.

Aanvallers hadden in 2018 een extern script aangepast dat op de website van British Airways draaide. Door de kwaadaardige code die aan het script was toegevoegd konden persoonlijke en betaalgegevens die klanten invoerden naar de aanvallers worden gestuurd. Ruim 420.000 mensen raakten door de aanval gedupeerd. Volgens de ICO zou de aanval in juni 2018 zijn begonnen.

British Airways kwam pas begin september met een waarschuwing, nadat het door een derde partij was gewaarschuwd. In eerste instantie meldde de luchtvaartmaatschappij dat van 380.000 mensen de gegevens waren gestolen, maar dit aantal werd later naar boven bijgesteld. Het ging om de persoonlijke informatie van meer dan 429.000 klanten en medewerkers, waaronder namen, adresgegevens, betaalkaartnummers en CVV-nummers van 244.000 klanten. Bij 77.000 klanten ging het om de gecombineerde kaart- en CVV-nummers. Tevens maakten de aanvallers gebruikersnamen en wachtwoorden buit. Het datalek werd twee maanden lang niet opgemerkt.

Uit onderzoek van de ICO blijkt dat door slechte beveiligingsafspraken bij het bedrijf gegevens konden worden gestolen. Volgens de toezichthouder had British Ai de kwetsbaarheden in de beveiliging moeten vinden en verhelpen met beveiligingsoplossingen die op dat moment beschikbaar waren. Als de luchtvaartmaatschappij dit had gedaan, had de aanval van 2018 niet op die manier kunnen plaatsvinden. Zo werd er geen multifactorauthenticatie toegepast, vonden er geen uitgebreide beveiligingstests plaats en was de toegang van gebruikers tot applicaties, data en tools niet beperkt.

"Het is niet duidelijk of en wanneer British Airways de aanval zelf had ontdekt", zo stelt de ICO. "Dit is vanwege het aantal getroffen mensen een ernstige tekortkoming, aangezien de financiële schade veel groter had kunnen zijn." Naar aanleiding van het onderzoek heeft British Airways verschillende beveiligingsverbeteringen doorgevoerd. Oorspronkelijk was de ICO van plan om een boete van omgerekend 200 miljoen euro op te leggen. De boete van 22 miljoen euro is de hoogste privacyboete die de Britse privacytoezichthouder tot nu toe heeft uitgedeeld.

Magento-webshops kwetsbaar door ernstige beveiligingslekken
Miljoenen creditcardgegevens bij Amerikaanse bbq-keten gestolen
Reacties (4)
Reageer met quote
16-10-2020, 15:06 door Anoniem
Tripwire had dit kunnen voorkomen, of althans de schade goed kunnen beperken.
Reageer met quote
17-10-2020, 10:27 door Anoniem
Door Anoniem: Tripwire had dit kunnen voorkomen, of althans de schade goed kunnen beperken.
Assumption.... Maar zo zijn er nog veel meer producten die dit kunnen.

Maar dat dit volgens jouw did de misconfiguratie kunnen detecteren of de hacker?
Reageer met quote
17-10-2020, 14:55 door botbot
Wat ik me afvraag, wordt al geld geld van die datalek boetes gebruikt om een grote pot te maken voor mensen die benadeeld worden door identiteitsfraude en andere soortgelijke fraude die gelinkt kan worden aan gestolen gegevens. Zo nee waarom niet? En daarbij vind ik het niet erg als er wat "over de rand klotst", als in dat er wat mensen zijn die persoonlijk data hebben laten lekken door slechte beveiliging op hun computer. Want daarvan lijkt mij een groot gedeelte te onderzoeken door die mensen bij de verzekering te laten aantonen/of door de verzekering te laten onderzoeken, dat ze een vorm van beveiliging op hun computer hebben staan. Dan kunnen a) de verzekeringsmaatschappijen een goedkope(re) verzekering aanbieden voor schade bij bedrijven en particulieren, b) als de verzekeringsmaatschappijen pas geld uit deze pot krijgen als zij zelf hebben aangetoond dat er sprake is van een goede beveiliging bij de klant, bij schade boven een bepaald bedrag, of meteen bij schade onder een bepaald bedrag, ze eerder geneigd zijn om kleinere bedragen gewoon uit te keren en zelf onderzoek te doen bij de klant bij grotere bedragen.

En zo nee, waar wordt dit geld dan voor gebruikt? Ik denk dat het publiek wel recht heeft om dat precies in te zien. Aangezien het gaat over geld van boetes voor gestolen data die van hen is.
Reageer met quote
17-10-2020, 17:38 door Anoniem
Door Anoniem:
Door Anoniem: Tripwire had dit kunnen voorkomen, of althans de schade goed kunnen beperken.
Assumption.... Maar zo zijn er nog veel meer producten die dit kunnen.

Maar dat dit volgens jouw did de misconfiguratie kunnen detecteren of de hacker?

Het was dan mogelijk geweest om de veranderingen aan het systeem (server-side) op te merken.

Toen ik developer was bij een webbureau draaiden we daarnaast ook voor klanten een check-service die elke 10 minuten de content van websites controleerden op veranderingen. Indien er een verandering aan de content werd geconstateerd kreeg de klant een sms-je dat de content gewijzigd was. Kost slechts een tientje per maand als ik mij goed herinner.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Welke messaging-app gebruik jij?

23 reacties
Aantal stemmen: 612
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter