Rafał Kosuń

Rafał Kosuń

Analityk biznesowy, specjalista RODO, bezpieczeństwa danych, audytor wiodący ISO, Inspektor Ochrony Danych

Największa kara RODO dla British Airways – “zimne” procedury bezpieczeństwa?

Strona Brytyjskich Linii Lotniczych ba.com została zmodyfikowana przez włamywaczy, którzy
najprawdopodobniej mieli do niej dostęp długo przed atakiem. Nieautoryzowany dostęp to zawsze
ogromne zagrożenie dla bezpieczeństwa danych co skutkować może wieloma konsekwencjami, z bankructwem zaatakowanej firmy włącznie! 

Włamywacze umieścili skrypt wykradający dane użytkowników z formularza służącego do realizacji płatności. Skrypt ten to stosunkowo znany tzw. skimmer internetowy czyli fragment kodu wykradającego dane.

Magecart script
Zdjęcie pochodzi z serwisu RiskIQ. Opisano tam też szczegóły ataku.

Złośliwy skrypt wykradał dane kart płatniczych oraz informacje o osobach dokonujących płatności i wysyłał te dane na serwer baways.com, który hostowany był na jednym z serwerów w Rumunii, który jest częścią dostawcy Time4VPS z siedziba na Litwie. Atak rozpoczął się dokładnie 21 sierpnia 2018 o 22:58 brytyjskiego czasu letniego i trwał 15 dni kończąc się 5 września 2018 o 21:45 BST.

W czasie tych 15 dni wykradziono dane 500 tysięcy klientów British Airways z całego świata.

Od czasu ujawnienia informacji o wycieku, brytyjski organ nadzorczy ICO utrzymywał, że planuje ukarać firmę kwotą 183 mln funtów. Ostatecznie zapowiedź organu została dokonana i zobowiązanie zapłaty w pełnej wysokości, tj. 204 mln € czyli 867 mln zł trafiło do firmy.

British Airways będzie korzystał ze wszystkich możliwości uniknięcia kary, włącznie z odwołaniem się od decyzji organu do sądu.

Subiektywny komentarz DataLex

Przed czasami RODO informacje o atakach na firmy i wyciekach danych osobowych nie docierały do nas tak często i szczegółowo. Dzisiaj, w czasach obowiązywania RODO większość poważnych wycieków wypływa na światło dzienne, dzięki czemu każdy z nas możne zapoznać się ze szczegółami tych ataków i WYCIĄGAĆ z nich wnioski!

A wnioski są takie, że niedomknięte okna i drzwi to zaproszenie dla złodziei, z tą jednak różnicą, że kradzież sprzętu w swych konsekwencjach jest niczym w porównaniu z kradzieżą danych. Brak dobrych procedur lub ich nieprzestrzeganie, brak świadomości o zagrożeniach oraz sposobach, którymi możemy je na siebie ściągnąć, brak szkoleń i aktywnego podejścia do bezpieczeństwa danych naszych i naszych klientów prędzej czy później NA PEWNO skutkować będzie mniejszą lub większą katastrofą. Nie ma innego wyjścia i nie powinniśmy łudzić się, że nas to nie dotyczy. Dotyczy bez wyjątku każdego z nas, każdą firmę i instytucję.

Dzisiaj rynek cyberprzestępczy to ogromne farmy silnie dofinansowanych firm, zatrudniających najwyższej klasy specjalistów pracujących w trybie full time job, budujących skuteczne metody ataków, poszukujących metod obejścia zabezpieczeń, programujących specjalistyczne oprogramowanie. Specjalistów od socjotechnik na które podatni jesteśmy wszyscy, bez wyjątku! 

Nie wierzysz?

Firmom tym przeciwstawiamy całą branżę cyberbezpieczeństwa i jest to niekończąca się, często nierówna walka, w której przewagę zwykle mają niestety cyberprzestępcy – stopa zwrotu z inwestycji w nielegalne działania jest bardzo wysoka, nawet uwzględniając ryzyko i koszty związane z łamaniem prawa. 

Pamiętajmy! Ogniwem systemu bezpieczeństwa jest każdy z nas!

DataLex - mamy papiery na etycznych hakerów!

Share on facebook
Share on twitter
Share on linkedin
british_airways

Skontaktuj się z nami

Podane przez Ciebie dane osobowe wykorzystamy tylko do udzielenia odpowiedzi na Twoje pytania. Podanie danych jest dobrowolne, ale ich niepodanie uniemożliwi nam prowadzenie z Tobą korespondencji. Administratorem Twoich danych osobowych jest DataLex Rafał Kosuń z siedzibą w 32-566 Brodła, ul. Środkowa 4. Przysługują Ci prawa: dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, przenoszenia i wniesienia sprzeciwu oraz wniesienia skargi do organu nadzorczego. Po szczegóły zapraszamy do naszej Polityki prywatności.
  • Twoje dane są u nas bezpieczne
  • Nie wysyłamy spamu
  • Zawsze sprawnie odpowiadamy
  • Przestrzegamy Twoich praw
  • Administratorem Twoich danych osobowych jest DataLex z siedzibą w 32-566 Brodła, ul. Środkowa 4.
  • Twoje dane osobowe wysłane za pomocą powyższego formularza przetwarzać będziemy w celu prowadzenia z Tobą korespondencji, odpowiedzi na ewentualne pytania oraz wykonania wyraźnych próśb zawartych przez Ciebie w wiadomościach.
  • Cel wynika z prawnie uzasadnionych interesów administratora na podstawie art. 6 ust. 1 lit. f Rozporządzenia Ogólnego o Ochronie Danych Osobowych z dnia 27 kwietnia 2016 r. (RODO).
  • Odbiorcami Twoich danych osobowych mogą być wyłącznie podmioty świadczące na naszą rzecz usługi wsparcia, tj. dostawcy usług IT i inne firmy usługowe, tylko na podstawie zawartych umów i na wyraźne polecenie administratora a także podmioty uprawnione do dostępu do danych osobowych na podstawie przepisów prawa. Aktualnie mogą to być firmy: Progreso, która świadczy dla nas usługi hostingu oraz Google LLC, której usługi wykorzystujemy do naszej bieżącej działalności.
  • Twoje dane osobowe przetwarzać będziemy, dopóki istnieć będzie potrzeba kontaktu, jak również w celu archiwizacji korespondencji do czasu istnienia tej potrzeby po naszej stronie, nie dłużej niż 5 lat z upływem na koniec roku kalendarzowego w którym wypada usunięcie danych ponieważ dane tego typu usuwamy w grudniu każdego roku lub też do czasu realizacji wniesionego przez Ciebie sprzeciwu lub żądania usunięcia danych.
  • Podanie przez Ciebie danych osobowych jest dobrowolne, ale konieczne w celu prowadzenia korespondencji, dlatego w formularzu wymagamy podania co najmniej Twojego imienia i/lub nazwiska, adresu e-mail lub nr telefonu kontaktowego.
  • Masz prawo żądania dostępu do treści swoich danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu w stosunku do danych osobowych, których podanie jest dobrowolne. Przykładamy ogromną wagę do bezpieczeństwa Twoich danych, jeśli jednak uznasz, że przetwarzając dane naruszamy przepisy, masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
  • Jeżeli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych osobowych, w tym praw jakie Ci w związku z tym przysługują, możesz się z nami skontaktować pisząc na adres: rodo@datalex.pl lub telefonicznie: +48663307507.

Przeczytaj inne nasze artykuły