British Airways multada con 183 millones de libras esterlinas en virtud del RGPD por violación de datos en 2018

Noticias 29 de marzo de 2022

british airways gdpr multa violación de datos

La Oficina del Comisionado de Información de Gran Bretaña (ICO) golpeó hoy a British Airways con una multa récord de £ 183 millones por no proteger la información personal de alrededor de medio millón de sus clientes durante la violación de seguridad del año pasado.

British Airways, que se describe a sí misma como «La aerolínea favorita del mundo», reveló una filtración el año pasado que expuso detalles personales y números de tarjetas de crédito de hasta 380.000 clientes y duró más de dos semanas.

En ese momento, la compañía confirmó que los atacantes habían robado los datos de los clientes que reservaron vuelos en su sitio web oficial (ba.com) y la aplicación móvil de British Airways entre el 21 de agosto y el 5 de septiembre.

Posteriormente, el ciberataque se atribuyó al infame Carro mágico actor de amenazas, uno de los grupos de piratería más notorios especializado en robar datos de tarjetas de crédito de sitios web poco seguros, especialmente plataformas de comercio electrónico en línea.

Los piratas informáticos de Magecart son conocidos por usar un skimmer de tarjetas de crédito digital en el que secretamente insertan algunas líneas de código malicioso en la página de pago de un sitio web comprometido que captura los detalles de pago de los clientes y luego los envía a un servidor remoto.

Además de British Airways, los grupos de Magecart también han sido responsables de violaciones de tarjetas en sitios pertenecientes a compañías de alto perfil como TicketMaster, Newegg, así como en sitios pertenecientes a otros pequeños comerciantes en línea.

En un comunicado publicado hoy, ICO dijo que su extensa investigación encontró que una variedad de información relacionada con los clientes de British Airways se vio comprometida por «acuerdos de seguridad deficientes» en la compañía, incluidos sus nombres y direcciones, inicios de sesión, datos de tarjetas de pago y detalles de la reserva de viajes.

«Los datos personales de las personas son solo eso: personales. Cuando una organización no los protege contra pérdidas, daños o robos, es más que un inconveniente», dijo la comisionada de información Elizabeth Denham.

«Es por eso que la ley es clara: cuando se le confían datos personales, debe cuidarlos. Aquellos que no lo hagan enfrentarán el escrutinio de mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad».

Sin embargo, ICO también dijo que British Airways ha cooperado con su investigación y ha realizado mejoras en los arreglos de seguridad desde que salió a la luz la violación de datos del año pasado.

Dado que la violación de datos se produjo después de que entrara en vigor el Reglamento General de Protección de Datos (GDPR) de la UE en mayo de 2018, se ha establecido la multa de £ 183,39 millones a British Airways, lo que equivale al 1,5% de la facturación mundial de la compañía por sus resultados financieros de 2017. año pero sigue siendo inferior al máximo posible del 4%.

En respuesta al anuncio de la ICO, British Airways, propiedad de IAG, dijo que la empresa estaba «sorprendida y decepcionada» por la sanción de la ICO.

«British Airways respondió rápidamente a un acto delictivo para robar los datos de los clientes», dijo el presidente y director ejecutivo de British Airways, Alex Cruz.

«No hemos encontrado evidencia de fraude/actividad fraudulenta en las cuentas vinculadas al robo. Pedimos disculpas a nuestros clientes por cualquier inconveniente que haya causado este evento».

La empresa tiene 28 días para apelar la sanción.

Hasta ahora, la sanción más significativa del organismo de control de protección de datos del Reino Unido fue de £ 500,000, que se impuso a Facebook el año pasado por permitir que la consultora política Cambridge Analytica recopile y haga un mal uso de los datos de 87 millones de usuarios de manera indebida.

La misma multa de £ 500,000 también se impuso a la agencia de informes crediticios Equifax el año pasado por la violación masiva de datos de 2017 que expuso la información personal y financiera de cientos de millones de sus clientes.

Dado que tanto los incidentes en Facebook como en Equifax ocurrieron antes de que entrara en vigor el RGPD, £ 500 000 era la sanción máxima que ICO puede imponer según la antigua Ley de Protección de Datos del Reino Unido.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested