De Britse luchtvaartmaatschappij British Airways heeft een vertrouwelijke schikking getroffen met slachtoffers van een datalek uit 2018. Dat heeft advocatenkantoor PGMBM, dat de slachtoffers in deze zaak vertegenwoordigde, bekendgemaakt. Aangezien het om een vertrouwelijke schikking gaat zijn er geen details bekendgemaakt.

Aanvallers wisten in 2018 een extern script aan te passen dat op de website van British Airways draaide. Door de kwaadaardige code die aan het script was toegevoegd konden persoonlijke en betaalgegevens die klanten invoerden naar de aanvallers worden gestuurd. Ruim 429.000 passagiers en medewerkers raakten door de aanval gedupeerd. Aanvallers wisten onder andere creditcardgegevens, e-mailadressen en adresgegevens buit te maken.

Uit onderzoek van de Britse privacytoezichthouder ICO bleek dat door slechte beveiligingsafspraken bij het bedrijf de betaalkaart-, reis- en adresgegevens konden worden gestolen. Zo werd er geen multifactorauthenticatie toegepast, vonden er geen uitgebreide beveiligingstests plaats en was de toegang van gebruikers tot applicaties, data en tools niet beperkt. Het datalek werd twee maanden lang niet opgemerkt.

Naar aanleiding van het onderzoek heeft British Airways verschillende beveiligingsverbeteringen doorgevoerd. De ICO was eerst van plan om British Airways een boete van omgerekend 200 miljoen euro op te leggen. Nadat de luchtvaartmaatschappij meer informatie over het incident en genomen maatregelen had gegeven, alsmede de impact van de coronacrisis, werd de uiteindelijke boete op omgerekend 22 miljoen euro vastgesteld.