British Airways nhận án phạt 183 triệu bảng vì bị vi phạm dữ liệu năm 2018

British Airways nhận án phạt 183 triệu bảng vì bị vi phạm dữ liệu năm 2018

July 9, 2019 | vietsunshine

Văn phòng Ủy ban Thông tin (ICO) của Anh hôm nay phạt British Airways với mức kỷ lục là 183 triệu bảng vì không bảo vệ thông tin cá nhân của khoảng nửa triệu khách hàng của họ trong vụ vi phạm an ninh năm ngoái.

British Airways, hãng hàng không tự mô tả là “được yêu thích của thế giới” (The World’s Favorite Airline), công bố một vi phạm vào năm ngoái đã tiết lộ chi tiết cá nhân và số thẻ tín dụng lên tới 380.000 khách hàng và kéo dài hơn hai tuần.

Vào thời điểm đó, công ty đã xác nhận rằng những khách hàng đã đặt chuyến bay trên trang web chính thức của mình (ba.com) và ứng dụng di động của British Airways trong khoảng thời gian từ ngày 21 tháng 8 đến ngày 5 tháng 9 đã bị đánh cắp thông tin của họ.

Vụ tấn công mạng sau đó được cho là do threat actor nổi tiếng Magecart,  một trong những nhóm hack khét tiếng nhất chuyên đánh cắp thông tin thẻ tín dụng từ các trang web được bảo mật kém, đặc biệt là các nền tảng thương mại điện tử trực tuyến.

Các tin tặc Magecart đã được biết đến với việc sử dụng skimmer thẻ tín dụng kỹ thuật số trong đó chúng bí mật chèn một vài dòng mã độc vào trang thanh toán của một trang web bị xâm nhập để nắm bắt chi tiết thanh toán của khách hàng và sau đó gửi nó đến một máy chủ từ xa.

Bên cạnh British Airways, các nhóm Magecart cũng chịu trách nhiệm về các vi phạm thẻ trên các trang web thuộc các công ty cao cấp như TicketMaster, Newegg, cũng như các trang web buôn bán online khác.

Trong một tuyên bố được công bố hôm nay, ICO cho biết cuộc điều tra mở rộng của họ cho thấy nhiều thông tin liên quan đến khách hàng của British Airways đã bị xâm phạm bởi các “sắp xếp bảo mật kém” tại công ty, bao gồm tên và địa chỉ, đăng nhập, dữ liệu thẻ thanh toán và chi tiết đặt phòng du lịch.

“Dữ liệu cá nhân của mọi người là riêng tư. Khi một tổ chức không bảo vệ nó khỏi mất mát, hư hỏng hoặc trộm cắp, điều đó còn hơn cả sự bất tiện. Đó là lý do tại sao luật pháp rõ ràng – khi bạn được ủy thác dữ liệu cá nhân, bạn phải chăm sóc nó”, Ủy viên Thông tin Elizabeth Denham nói.

Tuy nhiên, ICO cũng cho biết British Airways đã hợp tác với cuộc điều tra của mình và đã cải thiện các bố trí an ninh mạng kể từ khi vi phạm dữ liệu năm ngoái được đưa ra ánh sáng.

Kể từ khi vi phạm dữ liệu xảy ra sau khi Quy định bảo vệ dữ liệu chung (GDPR) của EU có hiệu lực vào tháng 5 năm 2018, khoản tiền phạt 183,39 triệu bảng đã được áp dụng đối với British Airways, tương đương 1,5% doanh thu trên toàn thế giới của công ty trong năm 2017 năm nhưng vẫn thấp hơn mức tối đa có thể là 4%.

Đáp lại thông báo của ICO, British Airways, thuộc sở hữu của IAG, cho biết công ty đã “ngạc nhiên và thất vọng” vì hình phạt ICO.

“British Airways đã phản ứng nhanh chóng với một hành vi tội phạm nhằm đánh cắp dữ liệu của khách hàng. Chúng tôi không tìm thấy bằng chứng nào về hoạt động gian lận / lừa đảo trên các tài khoản liên quan đến vụ trộm. Chúng tôi xin lỗi khách hàng vì bất kỳ sự bất tiện nào mà sự kiện này gây ra”, chủ tịch và giám đốc điều hành của British Airways, Alex Cruz nói.

Công ty có 28 ngày để kháng cáo.

Cho đến thời điểm hiện tại, hình phạt đáng kể nhất của cơ quan giám sát bảo vệ dữ liệu của Vương quốc Anh là 500.000 bảng, được áp dụng cho Facebook vào năm ngoái vì cho phép công ty tư vấn chính trị Cambridge Analytica thu thập và sử dụng sai dữ liệu của 87 triệu người dùng.

Hình phạt tương tự 500.000 bảng cũng được áp dụng đối với cơ quan báo cáo tín dụng Equifax vào năm ngoái vì vi phạm dữ liệu lớn năm 2017 đã làm lộ thông tin cá nhân và tài chính của hàng trăm triệu khách hàng.

Vì cả hai sự cố ở Facebook và Equifax xảy ra trước khi GDPR có hiệu lực, 500.000 bảng là mức phạt tối đa mà ICO có thể áp dụng theo Đạo luật bảo vệ dữ liệu cũ của Vương quốc Anh.

Nguồn: British Airways Fined £183 Million Under GDPR Over 2018 Data Breach

Xem thêm: British Airways bị hack: 380.000 thẻ thanh toán bị lộ thông tin

Facebook bị phạt 500.000£ do vụ rò rỉ dữ liệu Cambridge Analytica

Tags: ,