British Airways kažnjen sa 183 miliona funti zbog krađe podataka korisnika svog sajta i aplikacije

Vesti, 09.07.2019, 03:30 AM

Britansko povereništvo za informacije (ICO) kaznilo je British Airways rekordnom novčanom kaznom od 183 miliona funti zbog toga što kompanija nije zaštitila lične podatke oko pola miliona svojih korisnika, koji su ukradeni prošle godine u hakerskom napadu.

Aviokompanija British Airways, koja za sebe tvrdi da je "omiljena aviokompanija u svetu", prošle godine je objavila da su kompromitovani lični podaci i brojevi kreditnih kartica 380000 korisnika njenih usluga i da su napadači imali pristup podacima više od dve nedelje.

Tada je kompanija potvrdila da su napadači ukrali lične podatke i brojeve kreditnih kartica korisnika koji su rezervisali letove na njenom sajtu i u mobilnoj aplikaciji British Airwaysa od 21. avgusta do 5. septembra.

Sajber-napad se kasnije pripisivao poznatoj hakerskoj grupi Magecart, specijalizovanoj za krađu informacija o kreditnim karticama sa loše zaštićenih web sajtova, posebno sa platformi za online trgovinu.

Hakeri iz grupe Magecart poznati su po korišćenju digitalnih skimera za kreditne kartice, odnosno tajnom ubacivanju zlonamernog koda na stranicu za naplatu kompromitovanog web sajta, koji snima detalje o plaćanju i zatim ih šalje na server koji je pod kontolom napadača.

Pored British Airwaysa, grupa Magecart je takođe odgovorna za krađu informacija o platnim karticama na sajtovima koji pripadaju kompanijama kao što su TicketMaster, Newegg, kao i sajtovima koji pripadaju malim online trgovcima.

U saopštenju koje je objavilo povereništvo kaže se da je njihova opsežna istraga otkrila da su razne informacije koje su u vezi klijenata British Airwaysa kompromitovane zbog loših sigurnosnih mera kompanije, i da je utvrđeno da su među ukradenim podacima imena i adrese korisnika, prijave, podaci o platnim karticama i detalji o rezervacijama letova.

"Lični podaci ljudi su upravo to - lični. Kada neka organizacija ne uspe da ih zaštiti od gubitka, oštećenja ili krađe, to je više od neugodnosti", izjavila je poverenik za zaštitu podataka Elizabet Denam. "Zbog toga je zakon jasan - kada vam se poveravaju lični podaci, morate se brinuti o njima."

Međutim, ona je takođe rekla da je British Airways sarađivao sa njima tokom istrage i da je napravio poboljšanja u pogledu sigurnosnih mera otkako je prošle godine došlo do krađe podataka.

Budući da je do krađe podataka došlo nakon što je Opšta uredba EU o zaštiti podataka (GDPR) stupila na snagu u maju 2018., British Airwaysu je izrečena novčana kazna u iznosu od 183,39 miliona funti, što je ekvivalentno 1,5% ukupnog prometa kompanije za za 2017. godinu, ali je i dalje manje od mogućeg maksimuma od 4%.

U odgovoru na najavu povereništva, iz British Airwaysa su rekli da su u kompaniji "iznenađeni i razočarani" kaznom ICO.

"British Airways je brzo reagovao na krivično delo krađe podataka o korisnicima", izjavio je predsednik i izvršni direktor British Airwaysa Aleks Kruz.

"Nismo pronašli dokaze o prevarama na računima povezanim sa krađom. Izvinjavamo se našim klijentima za bilo kakve neugodnosti koje je ovaj događaj izazvao."

Kompanija ima rok od 28 dana za žalbu na odluku ICO.

Do sada je najveća kazna britanskog poverenika za zaštitu podataka kazna od 500000 funti, kojom je prošle godine kažnjen Facebook jer je dozvolio političkoj konsultantskoj firmi Cambridge Analytica da nepropisno prikupi i zloupotrebi podatke 87 miliona korisnika.

Ista kazna od 500000 funti je takođe određena američkoj kreditnoj agenciji Equifax prošle godine zbog incidenta iz 2017. godine, kada je došlo do krađe ličnih i finansijskih informacija stotina miliona klijenata kompanije.

Budući da su se oba incidenta dogodila pre nego što je GDPR stupio na snagu, 500000 je bila maksimalna kazna koju je povereništvo moglo izreći prema starom Zakonu o zaštiti podataka Velike Britanije.