British Airways zapłaci 20 mln funtów kary. Firma dopuściła do poważnego wycieku danych

Brytyjskie Biuro Komisarza ds. Informacji nałożyło poważną karę na linie lotnicze British Airways. Jest to wynik incydentu i niedopatrzenia w sprawie ochrony danych osobowych, jaki miał miejsce w 2018 r. British Airways musi zapłacić 20 milionów funtów grzywny.

Kara jest i tak dużo łagodniejsza niż pierwotnie proponowana grzywna. W roku 2019 brytyjski urząd zapowiadał, że British Airways może grozić nawet kara w wysokości 183 milionów funtów. Zdecydowano jednak złagodzić grzywnę ze względu na wpływ pandemii na światową gospodarkę. Mimo wszystko jest to największa kara Biura Komisarza ds. Informacji w historii Wielkiej Brytanii.

Dlaczego i jak doszło do wspomnianego wyżej incydentu z 2018 roku? Strona British Airways została zhakowana, a cyberprzestępcy wykazali się niezwykłymi umiejętnościami, tworząc na całej stronie serię przekierowań na fałszywą witrynę, z której pozyskiwane były dane klientów British Airways. Łącznie niemal 500 000 osób.

Lukę wykryli dopiero zewnętrzni badacze zabezpieczeń po dwóch miesiącach od momentu ataku. Skradzione dane to nie tylko loginy i hasła czy dane personalne, ale także dane powiązanych kart płatniczych oraz informacje na temat przebytych podróży.

Śledztwo ujawniło, że witryna British Airways nie zapewniała dostatecznego poziomu bezpieczeństwa (nie posiadała m.in. systemu uwierzytelniania wieloetapowego), choć firma posiadała infrastrukturę do ich wdrożenia.

• Prawo daje nam teraz narzędzia, aby zachęcać organizacje do podejmowania lepszych decyzji dotyczących inwestycji w zabezpieczenia – powiedziała komisarz Elizabeth Denman. British Airways ogłosiło, że od momentu udaremnienia ataku w znaczący sposób poprawiło systemy zabezpieczeń.