Както вече ви съобщихме преди почти два месеца, известната авиокомпания British Airways разследва пробив в сигурността на данните на банковите карти на клиентите си, извършен през септември. Когато в началото на септември AMATAS проследи хакерската атака, по официална информация жертвите й бяха 380 000 души. Сега обаче се оказва, че техният брой е по-голям със 77 000.
„Разследването разкри, че хакерите са откраднали още лични данни и сега уведомяваме притежателите на други 77 000 платежни карти, които преди това не са били уведомени, че имената, адресът за фактуриране, имейл адресът, данните на платежната карта, включително номера на картата, срокът на валидност и нейният CVV вероятно са били компрометирани, както и още 108 000 карти, но без техния CVV „, се казва в официалното изявление, разпространено от British Airways.
„Вероятно са засегнати тези клиенти, които са направили резервации между 21 април и 28 юли 2018 г. и са използвали платежни карти“.
Освен това официалното изявление съобщава още, че компанията е в процес на уведомяване на засегнатите клиенти, но ако някой от тях не е получил съобщение до края на работния ден на 26 октомври, няма причина за притеснение.
Хакерската атака срещу British Airways е извършена от киберпрестъпници, които са добавили зловреден MageCart скрипт към JavaScript библиотека, дело на на трета страна, която се казва Modernizr.
Modernizr е била използвана от сайта на British Airways и по тази причина зловредният скрипт е успял да събере и открадне данните на използваните банкови карти, както и пълната информация за извършените с тези карти плащания.
Всички откраднати от хакерите данни са били изпратени на отдалечен сървър, контролиран от киберпрестъпниците.
По отношение на хакнатата библиотека Modernizr, разследването е успяло да установи, че размерът на засегнатите клиенти е различен от първоначално отчетения през септември.
„Най-важното е, че няма потвърдени случаи на измама“, се казва още в официалното изявление на British Airways. Специалистите по киберсигурност обаче виждат най-важния момент от този инцидент с киберсигурността на клиентските данни по друг начин. Подобен пробив в сигурността на банковите данни на клиентите на една толкова мащабна авиокомпания носи изключително висок риск от последващи тежки престъпления и финансови злоупотреби. Освен това, тук очевидно става дума за невъзможност да бъде оправдано доверието на обществото към British Airways, което му е поверило огромно количество банкови и лични данни, с които да оперира и да съхранява, а компанията не е взела необходимите мерки за гарантирането на сигурността им.
Интересно би било също така и каква глоба ще бъде наложена на авиокомпанията, след влизането в сила на новия европейски регламент за защита на личните данни GDPR. Още повече, че в Австрия преди броени дни беше издадена първата глоба по изискванията на GDPR, така че очевидно регламентът вече започва да се прилага на практика. Ето защо специалистите от AMATAS ви напомнят, че отговорността за защита на съхраняваните лични данни се носи от всяка фирма, оперираща на европейския пазар, независимо от мащаба на бизнеса. По тази причина ви съветваме да обърнете сериозно внимание на защитата на данните, които постъпват в компанията ви. Разчитайте само на оторизирани фирми за извършването на професионални проверки на сигурността и за предприемането на необходимите мерки, гарантиращи недостъпността на данните ви от външни лица.
Снимка: Computerworld UK
