Robados datos de 380.000 clientes de British Airways
La aerolínea británica British Airways ha denunciado la sustracción de datos de 380.000 clientes a través de su página web y de la aplicación móvil.
La compañía aclaró que la información de los clientes, tanto personal como financiera, se vio comprometida desde las 23:58 del pasado 21 de agosto hasta las 22:45 del 5 de septiembre (hora española).
El presidente y consejero delegado de la aerolínea, Alex Cruz, señaló que se ha puesto a las autoridades pertinentes en conocimiento de lo ocurrido. También aseguró que la situación ya se ha resuelto y que en estos momentos su web opera con normalidad.
[Actualización 13/09/2018] El investigador de seguridad Yonathan Klijnsma de la empresa RiskIQ ha aportado nuevos datos sobre esta brecha de seguridad, relacionándola directamente con el grupo Magecart. Al parecer, los atacantes lograron hacerse con el control del servidor, ocultando código Javascript dentro de la librería Modernizr, encargada de recolectar la información, tanto en la web de la compañía como en la aplicación móvil.
[Actualización 29/10/2018] Posteriores investigaciones han revelado que los atacantes podrían haber robado datos personales adicionales y están notificando a los titulares de 77.000 tarjetas de pago, no notificados previamente, que el nombre, la dirección de facturación, la dirección de correo electrónico, la información de pago de la tarjeta, incluido el número de tarjeta, la fecha de caducidad y el CVV (Card Verification Value) han sido potencialmente comprometidos, y otros 108.000 sin CVV. Los clientes potencialmente afectados fueron aquellos que sólo hicieron reservas entre el 21 de abril y el 28 de julio de 2018, y que utilizaron una tarjeta de pago. Además, han descubierto que de los 380.000 datos de tarjetas de pago anunciados inicialmente como afectados por el ataque, sólo 244.000 se vieron afectados.
[Actualización 12/11/2018] La aerolínea ha admitido que, desde septiembre de 2018, 185.000 personas más podrían haber sido afectadas, lo que dejaría el número total en 565.000 clientes. El lapso de tiempo para informar a las 185.000 víctimas adicionales puede haberlas expuesto a un mayor riesgo de fraude cibernético, ya que sus datos han quedado al descubierto y han permanecido inalterados durante más tiempo.
[Actualización 08/07/2019] British Airways se enfrenta a una multa récord de 183 millones de libras esterlinas (205 millones de euros), impuesta por la Oficina del Comisionado de Información (ICO, Information Commissioner's Office), por infringir el Reglamento General de Protección de Datos (GDPR). La investigación de la ICO ha revelado que una gran variedad de información se vio comprometida por las malas medidas de seguridad en la empresa, como el inicio de sesión, la tarjeta de pago y los datos de las reservas de viajes, así como el nombre y la dirección. La empresa tendrá ahora la oportunidad de presentar observaciones ante la ICO en relación con las conclusiones y sanciones propuestas.
[Actualización 20/10/2020] La Oficina del Comisionado de Información (ICO) ha impuesto una multa de 20 millones de libras a la aerolínea, British Airways (BA) por incumplir algunas directrices de la Ley de Protección de Datos que afectaron a aproximadamente 429.000 de sus clientes y empleados. Las investigaciones justifican que BA podría haber identificado y resuelto algunas de las debilidades en su seguridad con las medidas de las que disponía en aquel momento, evitando así incidentes como el de 2018.
- 06/09/2018 britishairways.com Customer data theft
- 06/09/2018 theregister.co.uk 'World's favorite airline' favorite among hackers: British Airways site, app hacked for two weeks
- 07/09/2018 elmundo.es British Airways investiga el robo de datos a sus clientes
- 06/09/2018 bleepingcomputer.com British Airways Loses Customer Payment Card Data in Breach
- 11/09/2018 riskiq.com Inside the Magecart Breach of British Airways: How 22 Lines of Code Claimed 380,000 Victims
- 12/09/2018 unaaldia.hispasec.com Magecart detrás de la sustracción de información de pago de los clientes de British Airways
- 25/10/2018 mediacentre.britishairways.com UPDATE ON BRITISH AIRWAYS CYBER ATTACK - THURSDAY 25 OCTOBER, 2018
- 12/11/2018 itgovernance.co.uk BA data breach: 565,000 customers may have been affected
- 08/07/2019 ico.org.uk ICO statement: Intention to fine British Airways £183.39m under GDPR for data breach
- 08/07/2019 bbc.com British Airways faces record £183m fine for data breach
- 08/07/2019 xataka.com British Airways es sancionada con más de 213 millones de euros: la multa por GDPR más alta hasta la fecha
- 16/10/2020 ico.org.uk [Actualización 20/10/2020] British Airways - ICO