Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

British Airways meldt diefstal financiële data 380.000 reizigers

Criminelen hebben gegevens van 380.000 klanten van British Airways gestolen. Het gaat onder andere om financiële data zoals creditcardgegevens, die klanten invoerden bij het boeken van vluchten.

Om precies te zijn gaat het om de gegevens van boekingen die tussen 21 augustus en 5 september via ba.com of de app van de luchtvaartmaatschappij zijn gemaakt, staat op de waarschuwingspagina. Tegenover TechCruch meldt het dat het om 380.000 klanten gaat. British Airways raadt getroffen klanten aan een nieuw wachtwoord in te stellen en contact op te nemen met hun bank over de te nemen stappen.

Om welke gegevens het precies gaat, meldt het bedrijf niet. Paspoort- en reisgegevens zijn in ieder geval niet weggesluisd door de criminelen, belooft British Airways. Niet duidelijk is hoe de kwaadwillenden de systemen wisten binnen te dringen. Volgens het bedrijf is het lek gedicht en zijn de autoriteiten op de hoogte gebracht.

Update, zaterdag 8 september: in e-mails aan klanten laat British Airways weten dat volledige namen, factuuradressen, e-mailadressen en creditcardgegevens bestaande uit nummers, verloopdata en cvv-codes ontvreemd zijn.

Door Olaf van Miltenburg

Nieuwscoördinator

06-09-2018 • 21:54

39 Linkedin Google+

Reacties (39)

Wijzig sortering
Ik ga er vanuit dat BA net als vele anderen een payment provider gebruiken. Ik vraag mij af of het probleem bij BA zelf lag of bij de payment provider.
Als het probleem bij de provider zou liggen zou ik hogere aantallen verwachten. En de melding zou van de provider komen.

Wel lekker vlot gemeld trouwens, dat hebben we wel eens anders gezien. AVG in actie :)
Als het probleem bij de provider zou liggen zou ik hogere aantallen verwachten.
Ik vind het veel.
.. de gegevens van boekingen tussen 21 augustus en 5 september
Veel, https://www.statista.com/...irways-passenger-figures/

BA vervoerde in 2017 ruim 45 miljoen passagiers.
Dat zijn er 865.000 per week.

Het betreft hier een periode van ruim 2 weken waarin men dus 1,7 miljoen passagiers vervoerde (gemiddeld)

380.000 klanten hebben geboekt in die periode en met creditcard betaald.

Gezien het aantal klanten dat BA vervoerd is het dus niet veel op het totaal.
Lang niet iedereen boekt op BA.com maar via websites als cheaptickets.nl of andere luchtvaartmaatschepijen waarmee BA mee samenwerkt, zoals AA, Cathay of Iberia.

Edit: Daarnaast worden natuurlijk ook veel minder betalingen verricht dan er passagiers zijn in de statestieken doordat mensen retourvluchten boeken en eventueel samen reizen.

Het zou mij daarnaast ook niks verbazen dat overstapers als 2 vervoerde passagiers gerekend worden in de statistieken.

[Reactie gewijzigd door Gast Gebruiker op 7 september 2018 05:00]

Juist, wat eigenlijk heel de zaak nog frappanter maakt.


Aangezien BA de melding maakt,
en verder niets los laat over externe partijen, moet ik er van uit gaan dat het bij BA ligt.

Als het bij een externe partij ligt zouden meer vliegtuigmaatschappijen soortgelijk probleem hebben gehad.
Klopt helemaal, niet iedereen betaald met cc, overstappen, sommige betalen met 1 cc voor 2 3 of 4 personen.
Ik geef echter aan dat het cijfer 380.000 niet echt veel is op het totaal.
Dat kom vermoedelijk ook omdat niet iedereen met CC betaald. Ik gok ook dat het dan zat in het stukje van de betaling met CC, wat natuurlijk voor criminelen heel interessant kan zijns.
https://www.independent.c...t-customers-a8526516.html

Sterker nog ik denk dat best wel eens zo kunnen zijn dat juist de provider aan de bel trok:

"The data breach was identified, according to BA, when “a third party noticed some unusual activity and informed us about it”. The airline informed the police and the Information Commissioner.

British Airways will not say who the third party was. But The Independent understands it was a company, possibly another airline, that was targeted with a high volume of attempted fraudulent transactions. It is not clear, though, how this was traced back to BA."
Dat ligt er aan of je creditcard data op hun site ingeeft en BA het bewaard of dat je doorgestuurd wordt naar website van de payment provider.
Zo on-klik ik bijv. altijd het vakje waarin staat dat je cc gegevens 'voor het gemak' worden bewaard.
Wat opvalt is dat de android app van BA op 21 augustus voor het laatst is bijgewerkt.

Zou het misschien kunnen zijn dat de app een fout bevatte waardoor ba niet zeker is of er bij specifieke functionaliteiten geen gegevens gelekt zijn? Bijvoorbeeld omdat er http werd gebruikt om een api aan te roepen?

Wie heeft de app beschikbaar die tot 21 augustus de laatste versie was?
Dan zou er nu een gepatchde versie uitgekomen zijn. Ik denk eerder dat iemand de database te pakken heeft gekregen.
Het is allemaal mogelijk als lek. Maar bij de app valt achteraf nog te testen of er technisch mankementen waren die een oorzaak kunnen zijn. Als er geen probleem is valt dat weer uit te sluiten en blijven er andere opties over.
Het is aan te raden een credit card te gebruiken met een wissellende CVV of CVC code, dan kan er niet zo makkelijk misbruik gemaakt worden. BUNQ heeft hier een prachtige app voor (elke 5 minuten andere code, of wanneer je dat zelf wil). Credit card gegevens zijn altijd in te zien, is het niet door een hacker, dan wel door een medewerker die de kaart aanneemt of in een computer systeem kan grasduinen...

[Reactie gewijzigd door kritischelezer op 7 september 2018 01:11]

Het is aan te raden een credit card te gebruiken met een wissellende CVV of CVC code, dan kan er niet zo makkelijk misbruik gemaakt worden.
Of om van een creditcard gebruik te maken die bij elke afschrijving een extra authorisatie via de kaart-beheerder vereist. Bijv. een systeem zoals MasterCard's SecureCode.

(Als ik me niet vergis zijn aanbieders van creditcards sinds de invoering van PSD2 ook verplicht zo'n systeem te hanteren.)

[Reactie gewijzigd door R4gnax op 7 september 2018 08:08]

Hoe werkt dit voor een website als Amazon? Moet ik dan bij iedere betaling een nieuwe CVC invoeren?
CVC wordt alleen de eerste keer gechecked, eigenlijk heeft niemand een CVC nodig om een betaling aan te maken.
Als dat zo is heeft een wisselende cvc code ook niet zo veel nut
Tuurlijk wel, het gaat om elke nieuwe betaling! Dus bij een andere winkel, niet bij waar je al gekocht hebt... 8)7

Je hebt dus niets aan de verzamelde gegevens als je die opnieuw wil gaan gebruiken.

[Reactie gewijzigd door kritischelezer op 7 september 2018 11:44]

Thanks, dat is handig :)
Het is dus een debit card.
Dit https://www.creditcard.nl...-in-volgen-winkelaankopen vind ik echter veel belangrijker.
In ieder geval netjes dat ze het zo snel melden, dat hebben we anders gezien. Bewijs dat GDPR werkt?
Zeker, maar je hebt echt geen fluit aan dit nieuwsbericht. Ik hoorde er vanochtend op de Radio (4) over. Daar was Brenno toevallig aan het woord. Deze hele waarschuwing heeft geen inhoud en wordt weer schitterend verbloemd door een waanzinnig mooi stukje marketing techniek. Dat zelfs T.net dit klakkeloos heeft overgenomen zonder wat meer achtergrond info vind ik erg jammer. Hier ligt een grote kans om dit soort dingen uitgebreider te rapporteren zodat iedereen daar wat wijzer van wordt :)
Meerdere tickets geboekt in die periode, dus daar zal ik wel bijzitten. Nog geen mail gekregen.

Ironisch, aangezien BA bij iedere boeking met creditcard vermeldt "Sla je creditcardgegevens op in je account, dat is veiliger dan ze iedere keer over het internet sturen" :+
Dan nog zullen ze die gegevens wel ergens opslaan voor fiscale verantwoording.. Alleen je kan dan niet zomaar een nieuwe reis boeken zonder het in te voeren.
Ik heb gelukkig betaald met Paypal dus ben hopelijk OK...
Als het niet duidelijk is hoe ze zijn binnengekomen. Hoe kan je dan het lek dichten?
Het is wel duidelijk, maar niet voor ons. Ze hebben alleen gemeld dat het gebeurt is, niet hoe.
Ik begrijp dus dat dit alleen aankopen berteft die direct op de ba.com website gedaan zijn? Ik heb toevallig in deze periode een ticket gekocht, maar dan via cheaptickets.nl. Lucky me? :)
Horen dit soort bedrijven niet gewoon PCI compliant te zijn? Dat zu dus betekenen dat ze niet eens credit card-informatie op zouden mogen slaan, en ze zich nu dus open hebben gesteld voor heel wat (terechte) rechtzaken.
ze weten niet hoe de criminelen de gegevens in handen hebben gekregen maar het lek is gedicht....

zullen ze het dus door het lek hebben weten te bemachtigen???.....
"Niet duidelijk is hoe de kwaadwillenden de systemen wisten binnen te dringen. Volgens het bedrijf is het lek gedicht..."

Right... Dat schept vertrouwen bij de consument. 8)7

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True