Vdor v British Airways odplaknil 380.000 številk kreditnih kartic

V letalskem prevozniku British Airways se ukvarjajo s težavami, ki jih je podjetju in njegovim strankam povzročil hekerski vdor, ki se je dogodil med 21. avgustom (od 22.58 po lokalnem času) in 5. septembrom (do 21.45) letos. Neznani napadalci so uspeli odnesti osebne in finančne informacije 380.000 ljudi, ki so v obdobju dveh tednov kupili letalske vozovnice neposredno pri podjetju (prek spletne strani ba.com in aplikacije British Airways). Vdora ni odkril prevoznik, temveč tretje podjetje (najbrž kakšna banka, kjer mnogokrat te incidente opazijo prvi), ki je opazila nenavadno aktivnost, o čemer je obvestilo British Airways. Slednji je potem incident odkril še sam ter ga naznanil policiji in informacijskemu pooblaščencu.

V večini vdorov hekerji pridobijo le osebne podatke, to pot pa ni bilo tako. Ukradli so imena, naslova, številke kreditnih kartic, datume veljavnosti in kodo CVV - torej vse, kar potrebujejo za izvajanje transakcij. Ker British Airways ne shranjuje številk CVV, saj niti ne sme, se postavlja vprašanje, kako so jih hekerji dobili. Kaže, da so podatke očitno prestrezali in ne počrpali iz baze. Temu pritrjuje tudi dejstvo, da je znano zelo natančno okno, kdaj so bili uporabniki ogroženi.

Niso pa hekerji dobili podatkov o potnih listih ali potovanjih prizadetih strank. British Airways je takoj zaprl luknjo, stopil v stik z vsemi prizadetimi strankami in začel odpravljati posledice vdora. Obljubili so, da bodo vso nastalo škodo (torej lažne transakcije, ki so že bile izvedene in jih ni mogoče več preklicati), strankam povrnili. Prav tako bodo pokrili ostalo škodo, denimo stroške za izdajo nove kreditne kartice ipd. Ker je šlo za vdor v finančni del strežnikov, ta ne bo vplival na lete in vsi ljudje bodo lahko normalno potovali z vozovnicami, ki so jih kupili.

Izvršni direktor British Airways Alex Cruz se je opravičil in dejal, da je šlo za dovršen, zlonameren napad, zavoljo katerega bodo povrnili popolnoma vse stroške. Vseeno pa to ne bo nujno dovolj, saj incident preiskuje tudi informacijski pooblaščenec. Ker v EU že velja GDPR, lahko British Airways dobi globo tudi iz tega naslova. Najvišja zagrožena kazen znaša 4 odstotke letnih prihodkov (do 489 milijonov funtov za British Airways), rezultat pa je odvisen od izsledkov preiskave, zlasti od morebitne malomarnosti.

To ni prvi incident British Airways. Julija so odpovedali več deset letov z letališča Heathrow, ko jim je nagajal IT-sistem. Junija so imeli težave zaradi prepoceni vozovnic, ki so jih prodajali zaradi hrošča, in so jih kasneje preklicali. Lani maja pa so za en dan odpovedali vse polete s Heathrowa in Gatwicka, ker jim je zagodel informacijski sistem.