在2018年数据泄露事件影响到该航空公司500,000名客户后,英国航空公司已受到创纪录的2.3亿美元罚款提议。如果获得批准,该费用将是迄今为止向公司发布的最大金额的通用数据保护条例(GDPR)罚款。
上周一,信息专员办公室(ICO)英国隐私监督机构表示,将罚款英航183390000£($ 230.5万美元)GDPR的侵权行为。隐私专家表示,在涉及数据隐私事件后,处罚代表号召公司进行“反省”。
“公司需要更好地评估和管理与其网络供应链中第三方相关的风险,”Panorays公司首席执行官Matan Or-El在一封电子邮件中表示。“英国航空公司所面临的1.83亿英镑罚款可能只是即将发生的事情的冰山一角,应该成为执行GDPR的警钟。”
这次罚款将是GDPR征收的最高罚款,超过之前的任何一次罚款,包括5700万美元对谷歌的罚款; 以及其他的ICO处罚,包括源自Cambridge Analytica的数据收集事件的 645,000美元的Facebook罚款 ; 该公司未能在2017年的网络攻击中保护1500万英国公民,并对Equifax罚款 645,000美元。
在实施GDPR限令(2018年5月)之后,该规则允许最高处罚率高达公司全球营业额的4%。英国航空公司在一份声明中表示,ICO提出的罚款占截至2017年12月31日止财政年度全球营业额的1.5%。
英国航空公司在一份声明中称,它“打算采取一切适当措施,大力捍卫航空公司的地位,包括提出任何必要的上诉。”
英国航空公司董事长兼首席执行官亚历克斯克鲁兹在发给Threatpost的一份声明中说:“我们对ICO的这一初步结果感到惊讶和失望。” “英国航空公司在客户数据泄露后迅速采取行动,我们未发现被盗账户存在欺诈/欺诈活动的证据。对于此次事件造成的任何不便,我们向客户表示歉意。“
该罚款源于 该航空公司于2018年9月报道的其网站和移动应用程序的数据泄露事件。该漏洞暴露了500,000名客户的个人和财务细节包括姓名,地址和银行卡详细信息,如CVC代码 – 他们在其网站(ba.com)和航空公司的应用程序进行了预订。
据信,英国航空公司在2018年6月首次受到数据泄露的打击。2018年9月,该公司表示,由于数据泄露,大约有380,000张卡付款遭到破坏。这个数字在2018年10月增加到500,000,当时该航空公司表示9月报道的实际受害程度比之前想象的要大。
研究人员告诉记者,该活动可以归功于 Magecart的“medium-high confidence”。自2015年开始运营的Magecart集团最近一直因发生的一系列违规事件而被指责,其中最为多的卡片偷窃。Magecart威胁组织能够从英国航空公司网站上的行李认领信息页面加载数字卡片浏览脚本; 这意味着当用户点击按钮在受损的英国航空公司网站上提交付款时,他们的支付卡上的数据及其名称将被提取并发送给攻击者的服务器。
ICO表示,在对罚款做出最终决定之前,它将“考虑”英国航空公司提出的任何上诉以及其他相关数据保护机构的陈述。
“人们的个人数据只是个人数据。当一个组织未能保护它免受损失,损坏或被盗时,这不仅仅是一种不便,“信息专员伊丽莎白德纳姆在一份声明中说。“这就是法律明确的原因 – 当你被委托提供个人数据时,你必须照顾它。那些没有的人将面临我的审查,以检查他们是否已采取适当措施保护基本隐私权。“