La compañía British Airways fue víctima en el año 2018 de un
ataque a sus sistemas informáticos donde los atacantes sustrajeron información
personal de 429.612 incluyendo datos de tarjeta de crédito. La Oficina del
Comisionado (OIC) de Gran Bretaña ha impuesto esta misma semana 20 millones de
libras a la compañía por esta brecha en sus sistemas.
El ataque fue realizado entre el 21 de agosto y el de 5 septiembre
utilizando Magecart como vector extrayendo los datos de los clientes desde la
página web y la aplicación móvil de la compañía. Entre los datos robados a los
clientes incluye información personal como credenciales de acceso, números de
CVV y contraseñas, PIN, nombres y direcciones.
Tras realizar una investigación se informó en julio del año
pasado a la compañía que la multa podría ascender hasta los 183 millones de
libras. Debido a la pandemia la cual a golpeado a las aerolíneas con especial
dureza, la OIC ha decidido reducir la sanción, siendo esta multa como la mayor
emitida hasta la fecha.
Según ha informado la OIC la compañía BA no había implementado
las medidas de seguridad suficiente para evitar el hackeo a los datos, aunque,
había incorporado en su sistema medida como la autenticación multifacor, ni había
probado sus sistemas.
Según la investigación fue determinado que el modus operandi
fue una infección de JavaScript, este JavaScript fue adaptado por el grupo de
hackers para evitar ser detectado por los sistemas de seguridad de British
Airways.