Flygbolaget säger bara information som matas in inom en två-veckors period togs
- British Airways kund-uppgifter stulna från sin webbplats
- BA-chef lovar att kompensera kunder efter dataintrång
- BA dataintrång: vad gör du om du har drabbats
Fre 7 Sep 2018 12.53 BST
Först publicerad på Fre 7 Sep 2018 12.33 BST
Kreditkortsuppgifter av 380,000 BA kunder stals över två veckor.
Foto: Daniel Berehulak/Getty Images
Som British Airways rullar från ännu en annan är DET skandal, spekulationer om hur “världens bästa flygbolag” kan ge kredit kort information om att fördelas med 380 000 kunder för att vara stulen från under näsan för två veckor virvlar.
Svar på exakt hur brottslingar kunde stjäla kreditkortsuppgifter är tunna på marken och kommer sannolikt att kräva BA eller en tredje part som säkerhet entreprenör för att avslöja detaljer.
Dataintrång kan ta sig många former, från att helt enkelt lämna känsliga säkerhet data på USB-flash-enheter på west London gator, utpressning, social engineering, missnöjda fd eller nuvarande anställda och intrångsförsök som utnyttjar en eller flera brister i företagets it-säkerhet.
Men, uttalanden så långt punkt till punkt till en annan situation som upplevs av Dixons Carphone tidigare i år. BA säger bara personliga och ekonomiska data som togs, och endast från dem som köper flyg mellan den 21 augusti och den 5 September när hacka var aktiv, inte de med kreditkort sparade på sina konton.
Där Dixons Carphone hade historiska data på 10 miljoner kunder stulen av cyberbrottslingar att få tillgång till databaser, denna nya “väldigt sofistikerade” hack – i ord av BA: s VD – verkar bara ha tagit uppgifter som den var in i systemet under inköpsprocessen.
“En möjlighet är att hackare äventyras av ett fel i programvaran på British Airways webbplats,” Richard Walters, chief technology officer för bevakningsföretag CensorNet, sade. “Det är spekulationer tills vidare detaljer dyka upp men angriparen kan sedan ladda upp information stjäla kod till webbplatsen, vilket kan avlyssna meddelanden med backend-system, inklusive finansiella data.
“Om detta är fallet, är en kopia av data skulle skickas till de brottslingar som vidarebefordrades det att bolagets viktigaste IT-infrastruktur. Denna typ av angrepp kan också ha påverkat app om de använder samma system.”
The National Crime Agency sade att det är att utreda brott. En talesman för Information Commissioner ‘ s Office sa att det också skulle vara att göra förfrågningar om stöld av data.
“Kanske mest påtagligt är detta en av de första stora brott eftersom GDPR trädde i kraft i Maj,” Walters sa. “Det verkar som företaget anmält Information Commissioner’ s Office och kunder inom GDPR är obligatoriskt 72 timmar men överträdelse kommer nu att utredas och att bolaget skulle kunna missgynnas om den har underlåtit att vidta alla nödvändiga åtgärder för att skydda kundernas uppgifter.”
Registrera dig för att den dagliga Verksamheten i Dag e-post eller Vårdnadshavare följa Företag på Twitter på @BusinessDesk
Fullständig information om exakt hur denna attack hänt, och eventuella straffrättsliga åtgärder, inklusive böter för BA, kan endast avslöjas månader down the line.
Under tiden, experter säger att det är konsekvenserna för dem som drabbas av stöld är sannolikt att rulla ut över tid.
“När hackare har hold av högt värde på data som kort information, marknad i de kriminella nätverken för återförsäljning är enorm, vilket innebär att vi inte kan se effekterna av denna stöld omedelbart fram till en köpare handlingar”, Leigh Anne Galloway, it-säkerhet motståndskraft leda till Positiva Teknik, sa. “Det bästa man kan göra för någon som tror att deras uppgifter kan ha varit inblandade, eller som har fått höra så BA, bör hålla ett öga på sina transaktioner. Överväga att avbryta påverkas bankkort och begära ersättning för fred i sinnet.”