Hacket data – inkludert CVV – kode- verdt ca £20m på mørke nettet, cybersecurity eksperter sier
@ByRobDavies
Fredag 7 September 2018 17.45 norsk tid
Sist endret på Fredag 7 September 2018 21.25 BST
British Airways kan stå overfor en stor utbetaling i erstatning etter ‘ondsinnet’ data brudd.
Foto: Toby Melville/Reuters
Kredittkortinformasjon av 380,000 British Airways kunder kan allerede være i salg på internett etter at flyselskapet fikk en “ondsinnet” datainnbrudd, eksperter har advart om.
Kundene var desperat å endre sine kredittkortopplysninger på fredag, etter BA sa det var etterforsker tyveriet av passasjerer’ finansielle data fra sin nettside og app over en to-ukers perioden mellom 21. August og 5. September. Flyselskapet sa det ville kompensere passasjerer for eventuelle tap, som signaliserer potensial for store utbetalinger, gitt antall berørte kunder.
Men cybersecurity eksperter sa kundeinformasjon, inkludert nøkkel sikkerhet data som tresifret CVV-koden på baksiden av kredittkort, kanskje allerede har vært omsatt på det mørke nettet, en hemmelighetsfull lag av internett ofte brukes av kriminelle. Paul Lipman, administrerende direktør i cybersecurity firmaet Bullguard, sa kunders kreditt data var “nesten helt sikkert opp for salg på det mørke nettet som vi snakker”.
British Airways data brudd: hva du skal gjøre hvis du har blitt påvirket
Les mer
En analytiker sa de stjålne dataene ville være verdt mer enn £20m, basert på den kommer pris for kredittkortopplysninger på ulovlige nettsteder.
Advokater sa selskapet kan også bli rammet med en class action søksmål fra passasjerer om det ble funnet å ha mislyktes i å beskytte deres personlige data på riktig måte.
National Crime Agency, som leder etterforskningen, sa sine offiserer som arbeider med BA, og at berørte kunder skal nå være på utkikk etter en bølge av “opportunistiske” oppfølging svindel av svindlere som søker personlige data fra mennesker som er rammet av datainnbrudd.
Online tyveri så detaljer stjålet, inkludert navn, e-postadresse og kredittkort informasjon, inkludert CVV-kode. BA har sagt sitt kryptering ikke var brutt, men at hackere har brukt andre “svært sofistikert” metoder. Cybersecurity eksperter spekulert i at inkludering av CVV tall betydde at hackere hadde kopiert kunders data som de var å skrive det inn i BA nettstedet, snarere enn å stjele den fra en database.
Eksperter har pekt på det mørke nettet som en mulig destinasjon for data. Det mørke nettet er et begrep for hjørner av internett, ofte tilgjengelig ved hjelp av bestemt programvare eller kryptering teknikker, som brukes av kriminelle for formål som hemmelig narkotika salg eller handel i personlige data.
Simon Migliano, leder for forskning og cybersecurity ekspert på online personvern hjemmeside Top10VPN.com, sa BA kunders data kan være verdt £21.5 m, basert på en beregning av den gjennomsnittlige kostnaden for kriminelle er villig til å betale for kredittkort detaljer.
“Denne alvorlige sikkerhetsbrudd i BA kunne være å sende den mørke nettet inn i et vanvidd,” sa han. “Finansiell informasjon er svært verdifull og svært ønskelig, og vårt Mørke Web Markedet prisindeks viser at kredittkort detaljer kan selge for € 56.50 hver.
BA kan også møte en class action søksmål fra kunder om det har mislyktes i å beskytte sine data, i henhold til data privacy advokat Nick McAleenan av JMW Advokater.
“Spørsmålet om BA-systemet er opp til scratch er det avgjørende spørsmålet,” sa McAleenan, som er som representerer de ansatte i rimi-kjeden Morrison er i et gruppesøksmål etter at de ble utsatt for datainnbrudd.
“Hvis det kan påvises at de ikke har tekniske og organisatoriske tiltak som er på plass for å hindre hackere i å få tilgang, du har makings av en data protection krav.”
Han sa ofrene ville ikke nødvendigvis å vise økonomisk tap, men kunne kreve basert på tap av sine data alene, så vel som ulemper og opprørt forårsaket.
Flyselskapet kan også bli bøtelagt hundrevis av millioner av pounds av Informasjon Commissioner ‘ s Office (ICO), som kan ilegge straffer på opptil 4% av omsetningen under nye EU-regler for beskyttelse av data. Hvis maksimal ble brukt til BA, kunne det stå overfor en bot på £488m, men hvis prosentandelen ble overført til morselskapet, International Airlines Group, mengden kan snøball til £825m.
BA daglig leder, Alex Cruz, sa kunder ikke ville bli tatt ut av lommen dersom bruddet førte til falske transaksjoner på deres bankkontoer. “Den første tingen å si er at jeg er svært lei seg for det som skjedde,” Cruz sa på BBC Radio 4 i Dag-programmet. “Vi vil jobbe med en kunde som er påvirket, og vi vil kompensere eventuelle økonomiske problemer led.”
Aksjer i BA er morselskapet IAG har falt med 1,5% siden det avdekket brudd på torsdag kveld, tørke £120m av aksjemarkedet verdien av selskapet, som investorer fordøyd den potensielle virkningen på selskapets økonomi og kundens behov.
Bare en måned etter at de nye EU-regler på data trådte i kraft – General Data Protection Regulation, eller GDPR – medlemmer av BA ‘ s bonusprogram mottatt en e-post betryggende dem om sikkerheten av sine opplysninger.
“Din personlige informasjon er i trygge hender hos British Airways,” e-post lese. “Vi vil at du skal vite at du kan stole på oss til å respektere ditt privatliv og holde din personlige informasjon sikker.”