Aviokompanija British Airways dobila je kaznu od 183 milijuna funti zbog kršenje GDPR-a, odnosno curenja podataka iz 2018. godine, objavio je Nacionalni CERT.

Time je aviokompaniji Britain’s Information Commissioner’s Office (ICO) presudio najveću kaznu do sada zbog kršenja GDPR-a, i to zato jer nisu uspjeli zaštititi osobne podatke od oko 500.000 korisnika za vrijeme prošlogodišnjeg curenja podataka.

Iz British Airwaysa su iscurile osobne informacije i brojeve kreditnih kartica 380.000 korisnika u prošlogodišnjem incidentu koji je trajao duže od dva tjedna.

U vrijeme curenja podataka 2018. godine aviokompanija je potvrdila da su ukradeni podaci korisnika koji su svoje aviokarte kupovali online putem njihove službene stranice ba.com ili British Airways mobilne aplikacije između 21. kolovoza i 5. rujna.

Kibernetički napad povezan je s hakerskom skupinom Magecart, jednom od najzloglasnijih hakerskih skupina specijaliziranih za krađu podataka o kreditnim karticama s web stranica koje nemaju visoku razinu sigurnosti. Navedena skupina poznata je po umetanju malicioznog koda u stranici za odjavu na kompromitiranom web sjedištu koji zabilježava podatke o plaćanju i šalje ih na udaljeni poslužitelj.

Osim aviokompanije British Airways, Magecart grupa odgovorna je za krađu podataka o kreditnim karticama od nekoliko velikih kompanija kao što su TicketMaster, Newegg ali i puno manjih kompanija koje se bave online prodajom.

U izjavi ICO-a navodi se kako su nakon opsežne istrage došli do saznanja kako su u curenju podataka korisnicima otkrivena imena, adrese, login podaci, podaci o kreditnim karticama kao i podaci o destinacijama na koje su putovali, i to sve kao posljedica loših sigurnosnih mjera aviokompanije. ICO navodi kako je British Airways surađivao u istrazi od samog početka i kako su sigurnosne mjere uvelike pojačane u odnosu na 2018. godinu kada se dogodilo curenje podataka. Kako se curenje podataka dogodilo nakon uvođenja GDPR-a financijska kazna je bila sigurna posljedica, a iznos od 183.39 milijuna funti odgovara godišnjem prometu kompanije od 1.5 %, dok maksimalna kazna za kršenje GDPR-a može iznositi do 4 % ukupnog godišnjeg prometa.

British Airways, koji je u vlasništvu kompanije IAG, priopćio je kako su iznenađeni i razočarani propisanom kaznom, osobito zato što su brzo reagirali na curenje podataka koje se dogodilo. Kompanija ima 28 dana na žalbu.

Najveća kazna za kršenje GDPR-a do sada je bila ona koju je dobio Facebook (500 000 funti) za dozvoljavanje kompaniji Cambridge Analytica prikupljanje podataka u političke svrhe. Isti iznos kazne od 500 000 funti propisana je agenciji Equifax za curenje osobnih i financijskih informacija za više stotina milijuna korisnika. Kako su se oba incidenta dogodila prije GDPR-a to je bila maksimalna kazna koju su mogli dobiti.

Podijeli:

Vezane objave