Hackad data – inklusive CVV-koder – värt ca £20m på mörka web, it-säkerhet experter säger
@ByRobDavies
Fre 7 Sep 2018 17.45 BST
Senast ändrad Fre 7 Sep 2018 21.25 BST
British Airways kan stå inför en stor utbetalning i ersättning efter att den “skadliga” för dataintrång.
Foto: Toby Melville/Tt-Reuters
De kreditkortsuppgifter för att fördelas med 380 000 British Airways kunder kan redan vara till försäljning på internet efter det flygbolag som drabbats av en “skadlig” dataintrång, experter har varnat för.
Kunderna fick klättra för att ändra sina kreditkortsuppgifter på fredag, efter BA sa att det var att utreda stöld av passagerare finansiella data från sin hemsida och app under en två-veckors period mellan den 21 augusti och 5 September. Flygbolaget som sa att det skulle kompensera passagerare för eventuella förluster, signalering potential för stora utbetalningar, med tanke på hur många kunder som drabbats.
Men it-experter sa kunden information, inklusive viktig säkerhets-data som den tresiffriga CVV-koden på baksidan av kredit-kort, kanske redan har varit föremål för handel på den mörka webben, en hemlighetsfull lager av internet som ofta används av brottslingar. Paul Lipman, vd för it-företaget Bullguard, sade kunders kredit data var “nästan säkert upp för försäljning på den mörka webben som vi talar”.
British Airways dataintrång: vad gör du om du har drabbats
Läs mer
En analytiker sade att de stulna uppgifterna skulle vara värt mer än £20m, baserat på den pågående kursen för kredit kort information om olagliga webbplatser.
Advokater sade att företaget skulle också kunna slå till med en grupptalan rättegång från passagerarna om det konstaterades att ha misslyckats med att skydda sina personuppgifter på ett korrekt sätt.
National Crime Agency, som leder utredningen, säger dess tjänstemän arbetar med BA och att de drabbade kunderna nu vara på jakt efter en våg av “opportunistiska” uppföljning av bedrägerier genom att bedragare försöker personuppgifter från personer som drabbats av ett dataintrång.
Online stöld såg detaljer stulna inklusive namn, e-postadress och information om kreditkort, inklusive CVV-kod. BA har sagt att den kryptering var inte brutit mot men att hackare används andra “väldigt sofistikerade” metoder. It-experter spekulerade i att införandet av CVV-nummer innebar att hackare hade kopierat kunders data som de var, skriva det in det BA hemsida, snarare än att stjäla det från en databas.
Experter har pekat mörka webben som en möjlig destination för de data. Den mörka webben är en term för hörn av internet, ofta nås med hjälp av viss programvara eller kryptering, som används av brottslingar för syften, såsom olaglig försäljning av läkemedel eller handeln i personliga uppgifter.
Simon Migliano, chef för forskning och it-expert på online privacy webbplats Top10VPN.com sa BA kunders data kan vara värt £på 21,5 msek, baserat på en uppskattning av den genomsnittliga kostnaden brottslingar är villiga att betala för kreditkort detaljer.
“Detta allvarliga brott mot säkerheten på BA skulle kunna skicka den mörka webben in i en frenesi,” sade han. “Finansiell information är mycket värdefull och mycket önskvärt och våra Mörka Webben Marknaden prisindex visar att kreditkortsuppgifter kan sälja för £56.50 varje.
BA kan också utsättas för en grupptalan rättegång från kunder om den har underlåtit att skydda sina data, enligt data integritet advokat Nick McAleenan av JMW Advokater.
“Frågan om BA: s system är måttet är den centrala frågan,” sade McAleenan, som företräder anställda i dagligvarukedjan Morrison är i en klass för åtgärder efter det att de har utsatts för ett dataintrång.
“Om det kan bevisas att de inte har tekniska och organisatoriska åtgärder för att förhindra hackare från att komma åt, du har förutsättningar att bli ett skydd för talan”.
Han sade att offren inte nödvändigtvis skulle ha för att visa ekonomisk förlust, men kunde fordran som grundar sig på förlusten av sina data ensam, liksom besvär och upprörd orsakat.
Flygbolaget kan också vara böter på hundratals miljoner pund av Information Commissioner ‘ s Office (ICO), som kan utdöma böter på upp till 4% av omsättningen enligt de nya EU-reglerna för skydd av personuppgifter. Om den maximala tillämpades på BA, det kan drabbas av böter på £488m, men om den procentsats som tillämpas i moderbolaget, International Airlines Group, det belopp som skulle snöboll till £825 mn euro.
BA: s vd, Alex Cruz, sade kunder inte skulle lämnas ut i pocket, om överträdelsen lett till bedrägliga transaktioner på sina bankkonton. “Det första man måste säga är att jag är oerhört ledsen för vad som hände”, säger Cruz på BBC Radio 4-programmet Idag. “Vi kommer att arbeta med en kund som påverkas och vi kommer att kompensera eventuella ekonomiska lidande.”
Aktier i BA: s moderbolag IAG har fallit med 1,5 procent sedan det visade brott på torsdag kväll, torka £120 av börsvärdet av bolaget, som investerare upplösning av den potentiella inverkan på sin ekonomi och kundernas efterfrågan.
Bara en månad efter att den nya EU-regler om uppgifter som trädde i kraft – Allmän uppgiftsskyddsförordning, eller GDPR – medlemmar i BA: s frequent flyer-program fått ett e-postmeddelande och försäkrade dem om att deras information.
“Din personliga information är i trygga händer med British Airways,” läsa e-post. “Vi vill att du ska veta att du kan lita på oss att respektera din integritet och hålla din personliga information säker.”