Hvordan har hackere formår at løfte oplysninger om BA kunder?

Flyselskab siger, at kun oplysninger, der er indtastet inden for en to-ugers periode blev taget

  • British Airways kunde data stjålet fra sin hjemmeside
  • BA chef sværger at kompensere kunder efter bruddet
  • BA data, brud: hvad skal du gøre, hvis du har været ramt

Fre: 7 Sep 2018 12.53 BST

Først offentliggjort på Fredag 7 September 2018 12.33 BST

Credit card details of 380,000 BA customers were stolen over two weeks.

Kreditkortoplysninger af 380,000 BA kunder blev stjålet i løbet af to uger.
Foto: Daniel Berehulak/Getty Images

Som British Airways hjul fra endnu en IT-skandale, spekulation om, hvordan “verdens foretrukne flyselskab” kunne give det kredit kort detaljer på 380.000 kunder til at være stjålet fra under sin næse for to uger hvirvler.

Svar på præcis, hvordan de kriminelle, der var i stand til at stjæle kreditkort oplysninger er tynd på jorden og vil sandsynligvis kræve, at BA eller en tredjepart sikkerhed entreprenør til at videregive oplysninger.

Brud på datasikkerheden kan tage mange former, fra blot forlader følsomme sikkerhed data på USB-flash-drev på west London gader, til afpresning, social engineering, utilfredse tidligere eller nuværende medarbejdere og forsøg på indtrængen for at udnytte en eller flere svagheder i virksomhedens cybersecurity.

Men sætninger så langt fra punkt til punkt til et andet scenario, der opleves af Dixons Carphone tidligere i år. BA siger kun, personlige og økonomiske data blev taget, og kun fra dem der køber flyvninger mellem 21 August og 5. September, når hack var aktive, ikke dem med kredit kort, der er gemt på deres konti.

Hvor Dixons Carphone havde historiske data på 10 millioner kunder stjålet af cyberkriminelle at få adgang til databaser, denne nye “meget avanceret” hack – i ord af BA ‘ s CEO – ser ud til at have kun taget data, som det er indtastet i systemet i løbet af købsprocessen.

“En mulighed er, at hackere kompromitteret en fejl i softwaren på British Airways’ hjemmeside,” Richard Walters, chief technology officer af den sikkerhed, virksomheden CensorNet, sagde. “Det er spekulation, indtil yderligere oplysninger dukke op, men en angriber kan derefter overføre information stjæle kode til hjemmesiden, som kunne aflytte beskeder med backend-systemer, herunder finansielle data.

“Hvis det er tilfældet, skal en kopi af data vil blive sendt til de kriminelle, som den blev sendt til virksomhedens væsentligste IT-infrastruktur. Denne form for angreb kan også have påvirket den app, hvis de bruger fælles systemer.”

National Crime Agency sagde, at det er ved at undersøge brud. En talsmand for the Information Commissioner ‘ s Office sagde, at det ville også være at gøre henvendelser om tyveri af data.

“Måske mest markant, dette er en af de første store brud, da GDPR trådte i kraft i Maj,” Walters sagde. “Det ser ud til, at virksomheden meddelt Information Commissioner’ s Office og kunder inden for det GDPR er obligatoriske 72 timer, men bruddet vil nu blive undersøgt, og virksomheden kunne blive straffet, hvis det ikke lykkedes at tage alle de nødvendige foranstaltninger til at beskytte kundernes data.”

Tilmeld dig for at den daglige Forretning i Dag, e-mail eller følg Værge Virksomhed på Twitter på @BusinessDesk

Alle detaljer om præcist, hvordan dette angreb skete, og alle mulige straffeforanstaltninger, herunder bøder for BA, kan kun blive afsløret måneder ned linjen.

I mellemtiden, siger eksperter konsekvenser for dem, der rammes af tyveri er tilbøjelige til at rulle ud over tid.

“Når hackere har fat i høj-værdi data som kortoplysninger, markedet i kriminelle netværk for videresalg er enorm, hvilket betyder, at vi ikke kan se effekten af dette tyveri umiddelbart, indtil en køber handlinger,” Leigh Anne Galloway, the cyber security modstandsdygtighed føre til Positive Teknologier, sagde. “Den bedste ting at gøre for alle, der mener, at deres oplysninger har været involveret i, eller som har fået at vide, så ved BA, bør holde øje med, om deres transaktioner. Overvej at annullere den berørte bank-kort og anmode om en erstatning for fred i sindet.”


Date:

by