British Airways pode ter que pagar US $ 230 Mi em multa devido a GDPR

British Airways pode ter que pagar US $ 230 Mi em multa devido a GDPR. A agência de privacidade britânica emitiu uma “notificação de intenção” de que pretende multar a British Airways (BA) em £184 milhões (US$ 23 milhões)  por violar o Regulamento Geral de Proteção de Dados da UE.

A multa proposta é resultado de uma investigação do Britain’s Information Commissioner’s Office (ICO) na British Airways depois dela sofrer uma violação de dados em setembro de 2018 que redirecionou os clientes para um site fraudulento destinado a roubar os dados do cartão de pagamento .

Através deste site falso, os detalhes do cliente foram colhidos pelos atacantes. Dados pessoais de aproximadamente 500.000 clientes foram comprometidos neste incidente, que se acredita ter começado em junho de 2018“, disse o ICO em um comunicado divulgado segunda-feira.

A multa do regulador está sendo aplicada não porque a companhia aérea sofreu uma violação, mas por causa do que a ICO diz ser a má postura de segurança da organização no momento da violação. “A investigação da ICO descobriu que uma variedade de informações foi comprometida pela falta de medidas de segurança na empresa, incluindo o login, o cartão de pagamento e os detalhes da reserva de viagens, assim como as informações de nome e endereço“, diz.

A multa proposta equivale a 1,5% das receitas anuais da BA em 2017. A ICO afirma que a multa sugerida não é definitiva e que sua recomendação final levará em conta os comentários da BA e de outras autoridades de proteção de dados da UE. A ICO afirma que, embora tenha assumido a liderança da investigação, “sob as provisões GDPR ‘one stop shop’, as autoridades de proteção de dados da UE cujos moradores foram afetados também terão a oportunidade de comentar as conclusões da ICO“.

A ICO pode aplicar multas por violação da lei do GDPR de até 4% do faturamento da empresa envolvida, neste caso a multa proposta do GDPR seria a maior até o momento, não apenas em valor monetário, mas, aparentemente, também em termos da porcentagem da receita anual de uma organização que foi usada para determinar a sanção.

Os dados pessoais das pessoas são apenas isso – pessoais. Quando uma organização falha em protegê-los de perda, dano ou roubo, isso é mais do que uma inconveniência“, disse a Comissária de Informação do Reino Unido, Elizabeth Denham ao ISMG . É por isso que a lei é clara – quando você recebe os dados pessoais, você deve cuidar deles. Aqueles que não precisarem enfrentarão o escrutínio de meu escritório para verificar se tomaram as medidas apropriadas para proteger os direitos fundamentais à privacidade.

A BA pretende recorrer da multa, seu presidente e diretor executivo da BA, Alex Cruz disse ai ISMG que Estamos surpresos e decepcionados com essa descoberta inicial da OIC. A British Airways reagiu rapidamente a um ato criminoso para roubar dados de clientes“. Não encontramos provas de fraude / atividade fraudulenta em contas ligadas ao roubo. Pedimos desculpas aos nossos clientes por qualquer inconveniente causado por este evento“, complementa.

Nenhuma evidência de fraude, no entanto, não é o mesmo que nenhuma fraude ter ocorrido. Também não previne o risco de fraude no futuro, ou passou despercebida.

Segundo o ISMG, especialistas legais dizem que a descoberta da ICO provavelmente terá um efeito colateral

Vazamento da British Airways

Em setembro do ano passado, publicamos aqui no blog que dados de 380mil cartões de clientes vazou na British Airways , na época a companhia aérea disse que cerca de 380 mil cartões de pagamento foram comprometidos e notificou a polícia.

Em um comunicado, a British Airways disse: “Os dados roubados não incluem detalhes de viagem ou passaporte. De 22.58 de 21 de agosto de 2018 à 5 de setembro de 2018 inclusive, os detalhes pessoais e financeiros de clientes fazendo reservas na ba.com e no aplicativo da companhia aérea foram comprometidos . A violação foi resolvida e nosso site está funcionando normalmente.

Não é o primeiro incidente envolvendo a BA

O vazamento de setembro de 2018 não foi o primeiro incidente na British Airways. Em maio centenas de voos foram atrasados ou cancelados quando o sistema backup falhou após falha de energia no Data Center da companhia, no dia 27 de maio.

Em um dos mais estranhos incidentes de segurança, a falha de energia no site primário e backup, devido a um surto de  energia em um dos Data Centers da companhia, deixou centenas de aviões da British Airways parados em um dos maiores aeroporto do mundo na Inglaterra, o Heathrow Airport.

A surpresa é que , dado a importância e tamanho da empresa, esperava-se que existisse um bom Plano de Continuidade e Data Center alternativo de alta disponibilidade, mas segundo o assessor de imprensa da British Airways “O problema foi devido a uma surto de energia no Data Center de U.K. Foi uma falha excepcional que causou danos físicos a infraestrutura e resultou em uma falha generalizada na complexa tecnologia da companhia

Segundo o Assessor, a Britsh Airway contava com sistemas de backup, porém estes também falharam nesta ocasião.

Embora o evento da falha de energia não tenha gerado nenhum vazamento de dados, a British Airways tenha mais de um Data Center e a sobrecarga de energia afetou os dois Data Centers da empresa ao mesmo tempo, o que é inaceitável sob o ponto de vista de Segurança.

Aprendizado

Uma vantagem para as organizações que querem aprender com a violação e os problemas da BA é a necessidade de manter a conscientização ambiental da TI. A pergunta que um conselho deve fazer a um CISO é se ele sabe ao certo o que está sendo executado em seu site, o que deve estar lá, o que não deve e se algo foi modificado“, disse Gottlieb ao Information Security Media Group – ISMG. É apenas uma boa governança de TI. É um problema simples de entender, mas exige muito esforço e compromisso para resolver.”

Fonte: ISMG

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Você pode confiar seu rosto ao FaceApp?
  2. NCSC alerta para nova onda de ataques de sequestro de DNS
  3. Microsoft Office 365 Webmail expõe o endereço IP do usuário em emails

Deixe sua opinião!