Lưu lại chi tiết thẻ tín dụng của khách hàng từ năm 2015, British Airways bị phạt 20 triệu bảng Anh

Lưu lại chi tiết thẻ tín dụng của khách hàng từ năm 2015, British Airways bị phạt 20 triệu bảng Anh
  • British Airways đã vi phạm luật bảo vệ dữ liệu và không phát hiện được đợt tấn công trong hơn hai tháng
  • Thông tin nhạy cảm bị lộ mà không có mã hóa

Hãng hàng không British Airways đã bị phạt 20 triệu bảng Anh (26 triệu USD) sau một vụ vi phạm dữ liệu khiến hệ thống của hãng bị tấn công và đánh cắp thông tin thẻ cá nhân và thẻ thanh toán của 400.000 khách hàng.

Đó là khoản tiền phạt lớn nhất từng được Văn phòng Ủy viên Thông tin của Vương quốc Anh (ICO) đưa ra, để so sánh - Facebook chỉ mất 500.000 bảng vì vụ bê bối Cambridge Analytica.

Nhưng đa số cho rằng án phạt của British Airways như vậy là rất nhẹ, khi phải đối mặt với khoản phạt ban đầu từ ICO trị giá 183 triệu bảng Anh vì vi phạm xảy ra vào năm 2018.

Khoản tiền phạt của British Airways được ghi nhận là lớn nhất, nhưng nó vẫn giảm 90% so với mức ban đầu.

Trong thông báo về quyết định cuối cùng, ICO giải thích rằng họ đã xem xét các hoat động từ British Airways và “tác động kinh tế của COVID-19 đối với hoạt động kinh doanh của họ”.

Xem qua các thông tin, nếu vận may của British Airways không bị ảnh hưởng nặng nề bởi đại dịch toàn cầu thì khoản tiền phạt mà hãng được áp dụng sẽ là rất lớn mà nguyen nhân là do vấn đề an ninh.

Và sự thất bại của British Airways rất rõ ràng.

Trong số những sai lầm của hãng hàng không được xác định bởi báo cáo đã được tóm gọn lại của ICO về vụ việc bao gồm:

  • Không thể thực thi việc sử dụng xác thực đa yếu tố (MFA) trên các tài khoản cung cấp quyền truy cập từ xa vào hệ thống nội bộ của British Airways.
  • Không thể ngăn chặn việc khai thác lỗ hổng Citrix cho phép kẻ tấn công khởi chạy các công cụ và tập lệnh trái phép để tiến hành do thám mạng.
  • Lưu trữ các chi tiết đăng nhập (tên người dùng và mật khẩu) cho tài khoản quản trị viên miền đặc quyền ở dạng bản ghi rõ, cho phép kẻ tấn công “truy cập hầu như không hạn chế vào miền bị xâm phạm có liên quan”.

Và có lẽ đáng kinh ngạc nhất là British Airways đã lưu trữ thông tin thẻ thanh toán của khách hàng một cách thiếu thận trọng - bao gồm cả số CVV - dưới dạng tệp văn bản rõ ràng.

Khoảng 108.000 thẻ thanh toán bị lộ cho kẻ tấn công vì dữ liệu đã được British Airways lưu trữ mà không có bất kỳ mã hóa nào.

Vi phạm bảo mật này, cùng với việc dính mã Magecart độc hại trên trang web thanh toán của hãng hàng không, vốn đã đánh cắp thông tin cá nhân và thẻ thanh toán của hàng trăm nghìn khách du lịch khi họ đặt chỗ qua trang web và ứng dụng di động của BA, kết quả dẫn đến số tiền phạt kỷ lục ngày hôm nay.

Đúng vậy, 20 triệu bảng không lớn bằng khoản phạt 183 triệu bảng mà British Airways ban đầu phải đối mặt. Nhưng đây vẫn là khoản tiền phạt lớn nhất từng được áp dụng đối với một vụ vi phạm dữ liệu ở Vương quốc Anh và hy vọng bằng cách nào đó để khiến các công ty khác nỗ lực hơn trong việc bảo mật hệ thống của họ tốt hơn.

BitdefenderTotal Security

Giá chuẩn: 790.000,00 ₫

Khuyến mãi:316.000,00 ₫

Giá đặc biệt: 474.000,00 ₫

Post Releases