Hacket data – herunder CVV-koder til en værdi af omkring £20m på dark web, cybersecurity, siger eksperter
@ByRobDavies
Fre: 7 Sep 2018 17.45 BST
Sidst opdateret Fre 7 Sep 2018 18.25 BST
British Airways kan blive konfronteret med en stor udbetaling i erstatning efter de “skadelige” data breach.
Foto: Toby Melville/Reuters
De kreditkort oplysninger af 380,000 British Airways kunder kan allerede være til salg på internettet, efter at flyselskabet har lidt et “ondsindet” data breach, eksperter har advaret om.
Kunderne havde travlt med at ændre deres kreditkortoplysninger på fredag, efter at BA sagde, at det var at undersøge, tyveri af passagerer,’ finansielle data fra sin hjemmeside og app over en to-ugers periode mellem 21 August og 5. September. Flyselskabet sagde, at det ville yde passagererne kompensation for eventuelle tab, der signalerer potentialet for store udbetalinger, givet at antallet af kunder der er berørt.
Men cybersecurity eksperter sagde, at den kunde information, herunder vigtige sikkerheds-data, såsom de tre-cifret CVV-koden på bagsiden af det kreditkort, der måske allerede er blevet handlet på den mørke web, en hemmelighedsfuld lag af internettet, der ofte anvendes af kriminelle. Paul Lipman, administrerende direktør for cybersecurity-virksomheden Bullguard, sagde kundernes kredit-data var “næsten helt sikkert op til salg på de mørke internettet, som vi sige”.
British Airways data, brud: hvad skal du gøre, hvis du har været ramt
Læs mere
En analytiker sagde, at de stjålne data ville være mere værd, end £20m, baseret på det vil satsen for kreditkortoplysninger på ulovlige hjemmesider.
Advokater sagde, at virksomheden kan også blive ramt med en class-action retssag fra passagerer, hvis det blev fundet at have undladt at beskytte deres personlige data korrekt.
National Crime Agency, som er førende undersøgelsen, sagde sine officerer arbejdede med BA, og at berørte kunder skal nu være på udkig efter en bølge af “opportunistiske” følg-op-svindel af svindlere, der søger personoplysninger fra personer, der berøres af bruddet.
Den online-tyveri, så detaljer stjålet herunder navn, e-mail-adresse-og kreditkort-oplysninger, herunder den CVV-kode. BA har sagt, at dens kryptering blev ikke brudt, men at de hackere, der anvendes andet “meget avanceret” metoder. Cybersecurity eksperter spekuleret i, at inddragelse af CVV-numre betød, at hackere havde kopieret kunders data, som de var at skrive det ind i BA hjemmeside, snarere end at stjæle det fra en database.
Eksperter har peget på, at the dark web som en mulig destination for de data,. The dark web er en betegnelse for hjørner af internettet, ofte tilgængelige ved hjælp af en bestemt software eller kryptering teknikker, der anvendes af kriminelle til formål, såsom ulovlig narkotika, salg eller handel med personlige data.
Simon Migliano, leder af forskning og cybersecurity ekspert i online privacy hjemmeside Top10VPN.com, sagde BA kunders data, der kunne være værd £21.5 m, baseret på et skøn over de gennemsnitlige omkostninger kriminelle er villige til at betale for kreditkortoplysninger.
“Dette alvorlige brud på BA kunne være at sende dark web i en vanvittig,” sagde han. “Finansielle oplysninger er meget værdifulde og meget ønskeligt og vores Mørke Web-Market Price Index, der viser, at kreditkort kan sælge for £56.50 hver.
BA kunne også står over for en class-action retssag fra kunder, hvis det ikke har formået at beskytte deres data, i henhold til de data, privacy advokat Nick McAleenan af JMW Advokater.
“Spørgsmålet om, hvorvidt BA’ s system er op til bunden er det centrale spørgsmål,” sagde McAleenan, der repræsenterer medarbejderne i de supermarkedskæde Morrison er i en klasse indsats, efter at de blev udsat for et brud på datasikkerheden.
“Hvis det kan påvises, at de ikke har tekniske og organisatoriske foranstaltninger for at forhindre, at hackere ikke får adgang, du har fået sat en beskyttelse af personoplysninger krav.”
Han sagde, at ofrene ikke nødvendigvis ville have til at vise økonomisk tab, men kunne hævde, baseret på tabet af deres data alene, samt den ulempe og forstyrrelse forårsaget.
Flyselskabet kan også blive idømt en bøde på flere hundrede millioner pounds af Information Commissioner ‘ s Office (ICO), som kan idømme bøder på op til 4% af omsætningen i henhold til nye EU-regler for databeskyttelse. Hvis den maksimale blev anvendt til BA, det kunne få en bøde på £488m, men hvis den procentdel, der blev anvendt til moderselskab, International Airlines Group, beløbet kunne snowball til £825m.
BA ‘ s administrerende direktør, Alex Cruz, sagde, at kunderne ikke ville blive ladt i stikken, hvis bruddet førte til svigagtige transaktioner på deres bankkonti. “Den første ting at sige er, at jeg er meget ked af, hvad der skete,” Cruz sagde på BBC Radio 4 i Dag program. “Vi vil arbejde med enhver kunde, der er berørt, og vi vil kompensere for eventuelle økonomiske problemer, de har lidt.”
Aktier i BA ‘ s moderselskab, IAG er faldet med 1,5%, da det viste brud på torsdag aften, tørre £120 m fra aktiemarkedet værdien af selskabet, som investorerne fordøjet den potentielle indvirkning på sine finanser og kundernes efterspørgsel.
Blot en måned efter de nye EU-regler på data, der trådte i kraft – Generel Forordning om databeskyttelse, eller GDPR – medlemmer af BA ‘ s frequent flyer program, der modtages en e-mail berolige dem, om sikkerheden af deres oplysninger.
“Dine personlige oplysninger er i sikre hænder med British Airways,” e-mail-læse. “Vi ønsker, at du ved, du kan stole på os til at respektere dit privatliv og holde dine personlige oplysninger sikre.”