British Airways: £ 20 milioni di multa per aver perso dati di 400mila clienti

British Airways £ 20 milioni di multa

L’Information Commissioner’s Office (ICO), il garante per la protezione dei dati britannico, ha multato la compagnia aerea British Airways (BA) per non aver saputo proteggere i dati dei suoi clienti che sono stati oggetto di un attacco informatico nel 2018. Ad oggi è la multa più salata che l’ICO abbia mai emesso.

Un’indagine dell’ ICO ha rilevato che la compagnia aerea stava elaborando una quantità significativa di dati personali senza adeguate misure di sicurezza, e questo ha rappresentato una grave violazione del GDPR, il Regolamento Generale sulla Protezione dei Dati.

Le norme generali sulla protezione dei dati dell’Unione Europea (GDPR), prevedono una multa fino a 20 milioni di euro, o una sanzione amministrativa fino al 4% del fatturato mondiale dell’impresa per le violazioni più gravi.

L’attacco alla compagnia aerea è iniziato il 22 giugno 2018 ma è stato scoperto dalla BA più di due mesi dopo, il 5 settembre.

Gli investigatori dell’ICO hanno affermano che la BA avrebbe dovuto identificare i punti deboli nella sua rete e risolverli con le misure di sicurezza disponibili all’epoca.

Il commissario per le informazioni Elizabeth Denham ha dichiarato: “I clienti hanno affidato i propri dati personali a BA che non ha adottato misure adeguate per mantenere quelle informazioni al sicuro.

La loro incapacità di agire è stata inaccettabile e ha colpito centinaia di migliaia di persone, il che potrebbe aver causato un po’ di ansia e angoscia, continua Denham, aggiungendo che la multa di 20 milioni di sterline è stata la più grande che l’agenzia ha rilasciato fino ad oggi. La legge ora ci fornisce gli strumenti per incoraggiare le aziende a prendere decisioni migliori sulla protezione dei dati e sugli investimenti  in una sicurezza informatica.

Poiché la violazione di BA è avvenuta nel giugno 2018, prima che il Regno Unito lasciasse l’UE, l’ICO ha indagato per conto di tutte le autorità dell’UE come autorità di controllo principale ai sensi del GDPR. La sanzione e l’azione sono state approvate dalle altre autorità per la protezione dei dati dell’UE attraverso il processo di cooperazione.

La reazione di British Airways

Secondo il CEO di British Airways Alex Cruz, la compagnia, appena è venuta a conoscenza della violazione, ha iniziato a comunicare con i passeggeri nel giro di poche ore. Cruz ha definito l’attacco “dannoso” e “sofisticato”, aggiungendo che è la prima volta che il sito web della compagnia viene hackerato da più di due decenni fa. BA ha anche scritto delle FAQ rivolte ai passeggeri interessati , che forniscono un po’ più di dettagli su come la compagnia aerea sta affrontando l’attacco. Nelle FAQ, BA esorta ripetutamente i clienti a contattare la propria banca o il fornitore della carta di credito e seguire le loro istruzioni per ridurre al minimo le potenziali perdite finanziarie.

“Abbiamo avvisato i clienti non appena siamo venuti a conoscenza dell’attacco informatico ai nostri sistemi nel 2018 e siamo spiacenti di non essere stati all’altezza delle aspettative dei nostri clienti”.

Siamo lieti che l’ICO riconosca che abbiamo apportato notevoli miglioramenti alla sicurezza dei nostri sistemi dopo l’attacco e che abbiamo collaborato pienamente alle sue indagini.

Dettagli dell’attacco informatico

Si ritiene che l’aggressore abbia avuto accesso a 429.612 dati personali tra  clienti e dipendenti ed in particolare:

  • Nome, indirizzo, numero di carta di credito e numero CVV di 244.000 clienti;
  • Nmero di carta di credito e CVV di 77.000 soggetti;
  • Solo numero carta di credito di 108.000 soggetti;
  • Nomi utente e password degli account amministrativi dei dipendente di BA;
  • Nomi utente e PIN di 612 account del BA Executive Club.

La violazione è iniziata il 22 giugno 2018 quando i pirati informatici sono penetrati nella rete di BA grazie alle credenziali di accesso di un dipendente di Swissport, un fornitore terzo di servizi aeroportuali. BA non è stata in grado di determinare come l’attaccante sia riuscito ad ottenere le credenziali di accesso. Comunque sono stati trovati cinque account compromessi, collegati a Swissport. Gli account di Swissport non erano protetti dall’autenticazione a più fattori (dove, per esempio, oltre alla password, occorre inserire un ulteriore codice monouso che si riceve via smartphone).

Successivamente l’aggressore è stato in grado di ottenere l’accesso anche ad aree non destinate ai dipendenti di Swissport, ed è riuscito a introdurre nella rete di BA dei tools con i quali ha potuto eseguire delle scansioni di rete. Le scansioni gli hanno permesso di impossessarsi delle credenziali di un account amministrativo di un dominio privilegiato.

Le credenziali erano contenute in un normalissimo file di testo (non protetto) salvato in una cartella sul server. Un account di amministratore di dominio fornisce un accesso praticamente illimitato.

L’aggressore ha trovato poi le credenziali di amministratore di database e, il 25 giugno 2018, è riuscito ad accedere a tre server. Il 26 luglio 2018, ha potuto accedere ai file di log (anche essi in chiaro) , contenenti i dettagli delle carte di credito.

Ma l’aggressore è andato oltre

Tra il 14 agosto 2018 e il 25 agosto 2018 ha impostando un reindirizzamento a un sito Web, di sua proprietà, denominato “BAways”, verso il quale inviava i dati delle carte di credito dei clienti.

In pratica, quando il cliente inseriva i dati della carta di credito nel sito web di British Airways, una copia veniva inviata al sito dell’aggressore, senza interrompere la normale procedura di prenotazione e pagamento.

Questa attività è rimasta  attiva per circa due settimane prima che una terza parte informasse la compagnia aerea del reindirizzamento.

Mancata attenzione alla sicurezza

BA non ha effettuato un trattamento dei dati personali dei propri clienti in modalità che garantissero un’adeguata sicurezza dei dati, tra cui: protezione contro trattamenti non autorizzati o illegali e contro perdita, distruzione o danneggiamento accidentale, mediante misure tecniche e organizzative adeguate , come richiesto dall’articolo 5  (f) e dall’articolo 32 del GDPR.

C’erano numerose misure che BA avrebbe potuto utilizzare per mitigare o prevenire il rischio che un aggressore potesse accedere alla sua rete:

  1. limitare l’accesso ad applicazioni, dati e strumenti solo quanto necessario;
  2. effettuare test rigorosi, sotto forma di simulazione di un attacco informatico, sui sistemi aziendali;
  3. proteggere gli account dei dipendenti e di terzi con l’autenticazione a più fattori.

Oltretutto nessuna di queste misure avrebbe comportato costi eccessivi o barriere tecniche.

Come già detto, l’accesso iniziale alla rete di BA è stato ottenuto utilizzando le credenziali compromesse di una terza parte: un fornitore di servizi aeroportuali. Questo è noto come “supply chain attack”.

A tal proposito il Centre for the Protection of National Infrastructure aveva già pubblicato nel 2015 una Guida dal titolo “Mitigating Security Risk in the National Infrastructure Supply Chain”. Anche il National Cyber Security Council nel gennaio 2018 ha pubblicato una guida sul Supply chain security.

British Airways avrebbe potuto seguire i consigli e le buone pratiche dettate da queste organizzazioni.

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments