Утечка данных British Airways
Утечка данных клиентов British Airways

Летом 2018 года утечка данных затронула почти 400 000 клиентов British Airways , из которых почти у 250 000 были украдены имена, адреса, номера кредитных карт и коды CVV. Атака получила доступ к системам British Airways через учетную запись скомпрометированной третьей стороны и повысила привилегии их учетной записи, обнаружив незащищенный пароль администратора. Злоумышленник украл данные, которые British Airways неправильно регистрировала, а также перенаправил пользователей веб-сайта British Airways на поддельный сайт, который был разработан для кражи дополнительных данных.

В октябре 2020 года ICO оштрафовала British Airways на 20 миллионов фунтов стерлингов за нарушения GDPR, связанные с нарушением. Юридический иск клиентов, пострадавших от нарушения, был урегулирован во внесудебном порядке в 2021 году.

Атака

22 июня 2018 года злоумышленник получил доступ к сети British Airways с помощью скомпрометированных учетных данных сотрудника Swissport , стороннего обработчика грузов. [1] В скомпрометированной учетной записи не была включена многофакторная аутентификация . [1]

Первоначально злоумышленник был ограничен средой Citrix , но ему удалось выйти из нее неизвестным способом. [1] После выхода из среды злоумышленник смог повысить свои привилегии , обнаружив пароль администратора, хранящийся в открытом виде на сервере. [1]

26 июля 2018 года злоумышленник обнаружил простые текстовые файлы, содержащие данные платежных карт для транзакций по выкупу BA. В отчете ICO это было подчеркнуто следующим образом:

Регистрация и хранение данных этих карт (включая, в большинстве случаев, коды CVV) не являлись предусмотренной конструктивной особенностью систем BA и не требовались для каких-либо конкретных деловых целей.

Это была тестовая функция, которая должна была работать только тогда, когда системы не работали, но которая оставалась активированной, когда системы запускались. BA объяснила, что эти данные карты хранились в открытом виде (а не в зашифрованном виде) из-за человеческой ошибки. Эта ошибка означала, что система без необходимости регистрировала данные платежных карт с декабря 2015 года.

Влияние этого сбоя было в некоторой степени смягчено тем фактом, что период хранения журналов составлял 95 дней, что означало, что единственными доступными данными карт были те, которые были зарегистрированы в течение предыдущих 95 дней. Тем не менее, данные приблизительно 108 000 платежных карт были потенциально доступны атакующему. [1]

Сбор данных о клиентах

На сайте BA использовалась библиотека JavaScript под названием Modernizr . BA не обновляла свою версию библиотеки с 2012 года, а в используемой версии была известная ошибка, которая позволяла злоумышленнику перенаправлять информацию о клиентах на поддельный домен «baways.com», который они зарегистрировали. [2] Процесс оплаты казался пользователям законным. [2]

Открытие

5 сентября 2018 года третья сторона сообщила BA о вредоносном коде, действующем на их веб-сайте. В течение 90 минут он был удален. 6 сентября BA сообщила ICO и 500 000 пострадавших клиентов. [1]

7 сентября British Airways заявила, что атака затронула бронирования с 21 августа 2018 года по 5 сентября 2018 года, при этом были скомпрометированы данные кредитных карт около 380 000 клиентов. [3] Злоумышленники получили имена, почтовые адреса, адреса электронной почты, номера кредитных карт, даты истечения срока действия и коды безопасности карт — достаточно, чтобы позволить ворам украсть данные со счетов. [3] У 77 000 клиентов были украдены их имена, адреса, адреса электронной почты и подробная платежная информация, в то время как у 108 000 человек были скомпрометированы персональные данные, которые не включали номера CVV. [4]

British Airways настоятельно рекомендовала клиентам связаться со своими банками или эмитентами кредитных карт и следовать их советам. [3] NatWest заявила, что получила больше звонков, чем обычно, из-за взлома. [3] American Express заявила, что клиентам не нужно будет предпринимать никаких действий, и что они будут оповещать клиентов о необычной активности на их картах. [3]

В 2019 году ICO объявила о намерении наложить штраф в размере 1,5% от оборота авиакомпании за 2017 год, что составило 183,39 млн фунтов стерлингов. [5] После переговоров с ICO British Airways была оштрафована на 20 млн фунтов стерлингов Управлением комиссара по информации в октябре 2020 года. [5] Финансовое напряжение из-за пандемии COVID-19 было названо одной из причин снижения штрафа. [5]

В 2021 году юридическая фирма Pogust and Goodhead объявила, что представляет интересы группы клиентов BA, пострадавших от утечки, в «крупнейшем групповом иске о персональных данных в истории Великобритании». [6] Групповое исковое заявление было урегулировано во внесудебном порядке. [7]

Ссылки

  1. ^ abcdef ICO. "ICO - действия, которые мы предприняли - BA" (PDF) .
  2. ^ ab Stokel-Walker, Chris. «Простое исправление могло бы спасти British Airways от штрафа в 183 млн фунтов стерлингов». Wired . ISSN  1059-1028 . Получено 26.11.2024 .
  3. ^ abcde Сэндл, Пол (6 сентября 2018 г.). «BA приносит извинения после того, как 380 000 клиентов пострадали от кибератаки». Reuters .
  4. ^ "Расследование BA взлома веб-сайта выявило больше жертв". BBC News . 2018-10-25 . Получено 2022-11-04 .
  5. ^ abc Tidy, Joe (16 октября 2020 г.). «British Airways оштрафована на 20 млн фунтов стерлингов за утечку данных». BBC News . Получено 16 октября 2020 г. .
  6. ^ Роджерс, Джейсон (15.01.2021). «Заявление об утечке данных British Airways стало крупнейшим в своем роде в Великобритании». Pogust Goodhead . Получено 26.11.2024 .
  7. ^ "Иск British Airways о компенсации за утечку данных урегулирован". BBC News . 2021-07-06 . Получено 2024-11-26 .
Взято с "https://en.wikipedia.org/w/index.php?title=British_Airways_data_breach&oldid=1265388722"