British Airways ukarane zostało grzywną w wysokości 20 milionów funtów (to ok. 26 milionów dolarów) za wyciek danych swoich kleintów w 2018 roku.

Brytyjski urząd do spraw ochrony danych osobowych, Information Commissioner’s Office (ICO), odpowiednik polskiego UODO, nałożył na linie lotnicze British Airways grzywnę w wysokości 20 milionów funtów (to ok. 26 milionów dolarów i ponad 100 milionów złotych) za wyciek danych klientów z 2018 roku. Jeszcze w zeszłym roku przedstawiciele ICO twierdzili, że kara dla przewoźnika może wynieść nawet 183 miliony funtów, ale przy ustalaniu ostatecznej kwoty kary pod uwagę wzięto ekonomiczny wpływ pandemii Covid-19, podaje BBC.

Pomimo znacznego zmniejszenia kary wciąż jest to najwyższa grzywna jaką do tej pory nałożył brytyjski odpowiednik UODO.

Co się stało?

Dane pasażerów British Airways korzystających ze strony internetowej lub aplikacji przewoźnika na przełomie sierpnia i września 2018 roku wyciekły do sieci. Ofiarami cyberataku mogło paść nawet 400 tysięcy klientów, choć pierwotnie mówiło się o liczbie ok. 380 tys. Najważniejsze dane, jakie mogły znaleźć się w rękach złodziei to dane kart kredytowych osób kupujących bilety online – numery kart płatniczych i kredytowych, ich daty ważności oraz kody CVV2. Wraz z tymi danymi przestępcy dostali także dostęp do danych personalnych klientów, ich adresów zamieszkania i adresów email.

Będąc w posiadaniu czyjegoś numeru karty kredytowej, jego danych personalnych oraz numeru CVV2 przestępcy z powodzeniem mogą dokonać kradzieży środków zgromadzonych na kontach ofiar. W niektórych serwisach zakup online możliwy jest także bez podania kodu CVV2 zawartego na odwrocie karty. Tak duża pula danych może zostać także sprzedana innym przestępcom i z pewnością stanowi łakomy kąsek na czarnym, internetowym rynku.

Dochodzenie ICO ujawniło, że British Airways nie dopełniło wystarczająco procedur bezpieczeństwa, aby uniknąć wycieku, między innymi, nie stosując wielostopniowej weryfikacji, choć w używanyhc systemach była taka możliwość. 

Kiedy firmy podejmują kiepskie decyzje w zakresie ochrony danych osobowych swoich klientów może to mieć znaczący wpływ na życie tych klientów. Narzędzia prawne, którymi obecnie dysponujemy pozwalają nam wpływać na biznes, aby ich decyzje dotyczące danych były skuteczniejsze i opierały się na aktualnie najlepszych zabezpieczeniach – powiedziała komisarz ICO, Elizabeth Denman.