
- British Airways ละเมิดกฎหมายคุ้มครองข้อมูล และไม่สามารถตรวจจับการโจมตีเป็นเวลานานกว่าสองเดือน
- ข้อมูลที่ละเอียดอ่อนถูกเปิดเผยโดยไม่มีการเข้ารหัส
สายการบิน British Airways ถูกปรับเงิน 20 ล้านปอนด์ (26 ล้านดอลลาร์สหรัฐ) หลังจากพบว่าระบบถูกแฮก มีการละเมิดข้อมูลส่วนตัวและบัตรชำระเงินของลูกค้า 400,000 รายถูกขโมย
นี่เป็นค่าปรับที่ใหญ่ที่สุดที่สำนักงานคณะกรรมการข้อมูลข่าวสารของสหราชอาณาจักร (ICO) มอบให้ เมื่อเทียบกับการที่ Facebook ยอมจ่ายด้วยเงินเพียง 500,000 ปอนด์จากเรื่องอื้อฉาว Cambridge Analytica
แต่หลายคนจะพิจารณาว่าสายการบิน British Airways สามารถหลีกเลี่ยงการจ่ายค่าปรับ ICO 183 ล้านปอนด์จากการละเมิดที่เกิดขึ้นในปี 2561 ได้อย่างไม่ยากเย็น
ค่าปรับของสายการบิน British Airways อาจมากที่สุดเป็นประวัติการณ์ แต่ก็ยังลดลงถึง 90% จากที่เคยเป็นมา
การประกาศบทลงโทษขั้นสุดท้าย ICO อธิบายว่า ได้คำนึงถึงตัวแทนจาก British Airways และ "ผลกระทบทางเศรษฐกิจของโควิด -19 ต่อธุรกิจของพวกเขา"
หากโชคดีสายการบิน British Airways อาจได้รับผลกระทบไม่มากจากการระบาดของโควิด - 19 ถ้าเช่นนั้นค่าปรับจะถูกปิดกั้นเนื่องจากความล้มเหลวด้านความปลอดภัยครั้งใหญ่
และความล้มเหลวของสายการบิน British Airways เป็นเรื่องใหญ่
ท่ามกลางข้อผิดพลาดของสายการบินระบุรายงานที่แก้ไขโดย ICO เกี่ยวกับเหตุการณ์ดังกล่าว ได้แก่
- ความล้มเหลวในการบังคับใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA) กับบัญชีที่ให้การเข้าถึงระบบภายในของ British Airways จากระยะไกล
- ความล้มเหลวในการป้องกันการใช้ประโยชน์จากช่องโหว่ของ Citrix ที่อนุญาตให้ผู้โจมตีเปิดเครื่องมือและสคริปต์โดยไม่ได้รับอนุญาตเพื่อทำการลาดตระเวนเครือข่าย
- การจัดเก็บรายละเอียดการเข้าสู่ระบบ (ชื่อผู้ใช้และรหัสผ่าน) สำหรับบัญชีผู้ดูแลระบบ โดเมนที่ได้รับสิทธิพิเศษในรูปแบบข้อมูลต้นฉบับอาจทำให้ผู้โจมตี “เข้าถึงโดเมนที่ถูกบุกรุกโดยไม่จำกัดได้อย่างแท้จริง”

ผู้โจมตีมีบัตรชำระเงินประมาณ 108,000 ใบเนื่องจากข้อมูลถูกจัดเก็บโดย British Airways โดยไม่มีการเข้ารหัสใด ๆ

การละเมิดความปลอดภัยนี้ควบคู่ไปกับการสร้าง Magecart skimming code เป็นอันตรายบนหน้าเว็บการชำระเงินของสายการบิน สามารถขโมยรายละเอียดบัตรส่วนบุคคลและบัตรชำระเงินของนักเดินทางหลายแสนคน ในขณะที่ทำการจองผ่านเว็บไซต์และแอปบนอุปกรณ์เคลื่อนที่ของ BA ทำให้บันทึกของวันนี้ได้ดีในที่สุด
ใช่ !! เงินกว่า 20 ล้านปอนด์นั้นไม่มีอะไรมากเมื่อเทียบกับค่าปรับ 183 ล้านปอนด์ที่ British Airways เผชิญอยู่ แต่ยังคงเป็นค่าปรับการละเมิดข้อมูลในสหราชอาณาจักรที่ใหญ่ที่สุดเท่าที่เคยมีมา และหวังว่าจะช่วยให้บริษัทอื่น ๆ ใช้ความพยายามรักษาความปลอดภัยระบบของตนให้ดีขึ้น