En el verano de 2018, una filtración de datos afectó a casi 500.000 clientes de British Airways , de los cuales casi 250.000 sufrieron el robo de sus nombres, direcciones, números de tarjetas de crédito y tarjetas CVV. El ataque obtuvo acceso a los sistemas de British Airways a través de la cuenta de un tercero comprometido y aumentó los privilegios de su cuenta después de encontrar una contraseña de administrador no segura. El atacante robó datos que British Airways estaba registrando de forma incorrecta y también redirigió a los usuarios del sitio de British Airways a uno falso que estaba diseñado para robar más datos. En octubre de 2020, la ICO multó a British Airways con 20 millones de libras esterlinas por infracciones del RGPD relacionadas con la filtración.
El 22 de junio de 2018, un atacante obtuvo acceso a la red de British Airways mediante credenciales comprometidas de un empleado de Swissport , un manipulador de carga externo. [1] La cuenta comprometida no tenía habilitada la autenticación multifactor . [1]
El atacante estaba inicialmente restringido a un entorno Citrix , pero logró salir del entorno con éxito por medios que BA no había publicado. [1] Después de salir del entorno, el atacante pudo aumentar sus privilegios después de encontrar una contraseña de administrador almacenada en texto sin formato en el servidor. [1]
El 26 de julio de 2018, el atacante encontró archivos de texto sin formato que contenían detalles de tarjetas de pago para transacciones de canje de BA. El informe de la ICO destacó lo siguiente:
El registro y almacenamiento de los datos de estas tarjetas (incluidos, en la mayoría de los casos, los números CVV) no era una característica de diseño prevista de los sistemas de BA y no era necesario para ningún propósito comercial en particular.
Se trataba de una función de prueba que solo estaba prevista para funcionar cuando los sistemas no estaban activos, pero que se mantuvo activa cuando los sistemas entraron en funcionamiento. BA ha explicado que estos datos de tarjetas se almacenaban en texto sin formato (en lugar de en formato cifrado) como resultado de un error humano. Este error significaba que el sistema había estado registrando innecesariamente los datos de las tarjetas de pago desde diciembre de 2015.
El impacto de esta falla se vio mitigado en cierta medida por el hecho de que el período de retención de los registros fue de 95 días, lo que significó que
Los únicos datos de tarjetas a los que se podía acceder eran los registrados en los 95 días anteriores. Sin embargo, el atacante tenía acceso a los datos de aproximadamente 108.000 tarjetas de pago. [1]
El atacante luego registró un dominio falso, baways.com .
El atacante vulneró un script de terceros que se ejecutaba en el sitio web de British Airways llamado Modernizer . Luego, modificó el código que este script servía. Tras la confirmación del pago, el código capturaba los datos personales y de pago del usuario. Luego enviaba estos datos de forma silenciosa a baways.com , con un retraso de 500 ms para evitar que el usuario sospechara algo. El proceso de pago parecía completamente normal.
El 5 de septiembre, un tercero informó a BA sobre el código malicioso que actuaba en su sitio web. En 90 minutos, el código fue eliminado. El 6 de septiembre, BA informó a la ICO y a 500.000 clientes afectados. [1]
British Airways afirmó que el ataque afectó a las reservas realizadas entre el 21 de agosto de 2018 y el 5 de septiembre de 2018, y que se vieron comprometidos los datos de las tarjetas de crédito de unos 380.000 clientes en total. [2] Los atacantes obtuvieron nombres, direcciones postales, direcciones de correo electrónico, números de tarjetas de crédito, fechas de caducidad y códigos de seguridad de las tarjetas , lo suficiente como para permitir a los ladrones robar de las cuentas. [2] Se robaron los nombres, direcciones, direcciones de correo electrónico e información detallada de pago de 77.000 clientes, mientras que se vieron comprometidos los datos personales de 108.000 personas, que no incluían los números CVV. [3]
De las 500.000 víctimas de la violación, a 250.000 se les robó el nombre, la dirección, el número de tarjeta y el número CVV. El resto de las víctimas perdieron menos información personal. [1]
British Airways instó a sus clientes a ponerse en contacto con sus bancos o emisores de tarjetas de crédito y a seguir sus consejos. [2] NatWest dijo que recibió más llamadas de lo habitual debido a la violación de datos. [2] American Express dijo que los clientes no tendrían que tomar ninguna medida y que alertarían a los clientes sobre actividad inusual en sus tarjetas. [2]
La multa, anunciada inicialmente, ascendería al 1,5% de la facturación de la aerolínea en 2017, es decir, a 183,39 millones de libras.
En octubre de 2020, tras las negociaciones y la tensión financiera de la pandemia de COVID-19, la Oficina del Comisionado de Información multó a British Airways con 20 millones de libras esterlinas. [4]
El 4 de octubre de 2019, un grupo de 6000 clientes afectados obtuvo luz verde para demandar colectivamente a British Airways. Además, el bufete de abogados PGMBM representó a más de 16 000 víctimas y alcanzó un acuerdo extrajudicial confidencial. [5] No se revelaron los detalles del acuerdo.