Η εταιρεία παραδέχεται ότι χάκερ έκλεψαν τα στοιχεία 380.000 πιστωτικών καρτών, με τις οποίες έγιναν αγορές εισιτηρίων το διάστημα από 21 Αυγούστου έως 5 Σεπτεμβρίου.
H British Airways αναγκάστηκε χθες να ζητήσει συγγνώμη από τους πελάτες της για το γεγονός πως άγνωστοι κυβερνοεγκληματίες έκλεβαν επί δύο εβδομάδες τα στοιχεία των πιστωτικών τους καρτών, ενώ απειλείται με πρόστιμο που θα μπορούσε να φτάσει μέχρι τα 545 εκατ. ευρώ. Εκτιμάται πως εκλάπησαν τα στοιχεία από 380.000 συναλλαγές που είχαν γίνει μέσω της ιστοσελίδας της BA και μέσω της εφαρμογής για κινητά τηλέφωνα. Η British Airways ανακάλυψε την Τετάρτη πως τα στοιχεία για αγορές εισιτηρίων που είχαν γίνει μεταξύ της 21ης Αυγούστου και της 5ης Σεπτεμβρίου είχαν υποκλαπεί, στο πλαίσιο πολύ σύνθετης και προηγμένης επίθεσης χάκερ, δήλωσε χθες ο Αλεξ Κρουζ, διευθύνων σύμβουλος της εταιρείας. Τα πολύτιμα δεδομένα περίπου 380.000 πιστωτικών καρτών πέρασαν στα χέρια των κακοποιών που απέκτησαν το όνομα των κατόχων τους, τη διεύθυνση διαμονής, την ηλεκτρονική τους διεύθυνση, τον αριθμό πιστωτικής κάρτας, την ημερομηνία λήξης και τους κωδικούς ασφαλείας. Με λίγα λόγια όλα τα δεδομένα που χρειάζονται οι κακοποιοί ώστε να κάνουν συναλλαγές με αυτές τις κάρτες. Ο Κρουζ υποστήριξε πως οι χάκερ δεν κατάφεραν να αποκωδικοποιήσουν το σύστημα κρυπτογράφησης της εταιρείας, αλλά δεν εξήγησε με ποιο τρόπο κατάφεραν να αποσπάσουν τα κρίσιμης σημασίας δεδομένα.
Αποζημίωση
Ο επικεφαλής της BA είπε πως η εταιρεία επικοινώνησε με τους πελάτες της την Πέμπτη. Τους συνέστησε να επικοινωνήσουν με την τράπεζα ή τον πάροχο πιστωτικής κάρτας και να ακολουθήσουν τις συμβουλές τους. Πρόσθεσε πως όποιος πελάτης έχει πέσει θύμα απάτης θα αποζημιωθεί από την BA. Η μετοχή της International Airlines Group (IAG), μητρικής εταιρείας της British Airways, υποχωρούσε χθες κατά 3,2% στο χρηματιστήριο του Λονδίνου. Ο Τρέβορ Ρέσκε, ειδικός σε ζητήματα διαδικτυακής ασφάλειας, εξήγησε στο Reuters ότι η BA αποτελούσε δυνητικό προφανή στόχο για τους χάκερ διότι πραγματοποιεί χιλιάδες συναλλαγές μέσω της ιστοσελίδας της. «Τώρα γίνεται αγώνας δρόμου μεταξύ της BΑ και του υποκόσμου. Η πρώτη προσπαθεί να διαπιστώσει ποιες πιστωτικές κάρτες δεν είναι ασφαλείς και να ειδοποιήσει τους κατόχους τους και οι δεύτεροι προσπαθούν να αποσπάσουν χρήματα από αυτές όσο προλαβαίνουν». H IAG ανακοίνωσε πως πλέον έχει αντιμετωπιστεί το πρόβλημα ασφάλειας.
Πρόστιμο
H BA απειλείται τώρα με επιβολή προστίμου στο πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) που έχει τεθεί σε ισχύ από τις 25 Mαΐου. Ο κανονισμός προβλέπει πως οι εταιρείες πρέπει να λαμβάνουν τεχνικά μέτρα ασφάλειας, όπως κρυπτογράφηση των συναλλαγών, ώστε να διασφαλίζουν την προστασία των δεδομένων των πελατών τους. Παράλληλα, μια εταιρεία είναι υποχρεωμένη να ειδοποιεί τις Αρχές εντός 72 ωρών από τη στιγμή που θα μάθει πως έχει πέσει θύμα επίθεσης. Η παραβίαση του κανονισμού ενδέχεται να επιφέρει πρόστιμο που φτάνει μέχρι και το 4% των ετήσιων πωλήσεων μιας εταιρείας, ποσό που στην περίπτωση της BA φτάνει τα 545 εκατ. ευρώ. «Οι Αρχές θα θελήσουν τώρα να μάθουν πώς και γιατί έγινε η επίθεση ώστε να προσδιορίσουν αν μπορούσε να να είχε αποτραπεί», λέει στο Bloomberg ο Κόνραντ Μάγερ, ειδικός στο δίκαιο περί προσωπικών δεδομένων στην EY στη Ζυρίχη. Οι εταιρείες BA και IAG είναι πιθανό να θεωρηθούν υπόλογες για απάτες που έγιναν με τις κλεμμένες κάρτες, αλλά πιθανότατα είναι ασφαλισμένες έναντι αυτού του κινδύνου, αναφέρουν αναλυτής της RBC Capital Markets. Η παραβίαση των συστημάτων ασφαλείας μιας εταιρείας δεν οδηγεί αυτομάτως στην επιβολή προστίμου, πρόσθεσε ο Μάγερ.