British Airways sloeg beheerderswachtwoord en creditcarddata in platte tekst op

British Airways heeft een boete van 20 miljoen pond opgelegd gekregen van de Britse toezichthouder ICO, omdat de luchtvaartmaatschappij zijn beveiliging niet goed op orde had. Onder andere sloeg het bedrijf gevoelige gegevens onversleuteld op.

De Information Commissioner’s Office kwam tot de boete van omgerekend 33 miljoen euro na onderzoek naar een grootschalig datalek in 2018, waarbij persoonsgegevens van 380.000 personen gestolen werden, waaronder creditcardgegevens inclusief ccv-nummers. De privacyautoriteit beschrijft het verloop van de hack van de betaalsystemen en somt op waar het mis ging met de beveiliging.

De aanvallers wisten toegang te krijgen tot de netwerken van British Airways met behulp van accountgegevens van een medewerker van Swissport. Van daaruit wisten de aanvallers tools binnen de Citrix-omgeving te krijgen, waarmee ze het netwerk konden doorlichten. Zo kwamen ze achter een inlognaam en wachtwoord van een beheerdersaccount die in platte tekst waren opgeslagen en die volgens de ICO vrijwel ongelimiteerde toegang tot het domein gaven.

Zo wisten de aanvallers in te loggen op meerdere servers en konden ze op 26 juli 2018 toegang verkrijgen tot logbestanden met, opnieuw in platte tekst, opgeslagen creditcardgegevens, inclusief ccv-nummers. Dankzij een testfunctie die door een menselijke fout live stond, waren de creditcardgegevens sinds december 2015 zo onversleuteld gelogd. De retentieperiode was beperkt tot 95 dagen, wat de schade enigszins beperkte, maar alsnog waren van 108.000 kaarten de gegevens zo inzichtelijk.

De boete is veel lager dan het bedrag van 183 miljoen pond waar de ICO vorig jaar mee dreigde, onder andere omdat de luchtvaartsector in financiele moeilijkheden verkeert door de coronapandemie. Tijdens de gesprekken over de hoogte van de boete, noemde British Airways datalekken met creditcardgegevens tegenover de ICO 'een volkomen alledaags fenomeen'.

Reacties (91)

delphium

16 oktober 2020 19:45

Veel mensen hier doen als of het hen nooit zou overkomen, maar dit is toch best een uitgebreide hack geweest. De ellende is begonnen met het lekken van de accountgegevens van een medewerker van Swissport. Vervolgens is er een andere medewerker (met veel rechten op het netwerk!!) zo slim geweest om zijn logingegevens van de Citrixomgeving ergens in een tekstbestandje op te slaan. Daarmee konden ze op servers inloggen en logbestanden bekijken, die anders dus alleen voor de beheerder zichtbaar waren.

Niet om het goed te praten, maar dit is een keten van fouten geweest, waarbij de meest ernstige in mijn ogen zijn, de twee accounts die zijn gelekt. PEBCAC dus.

Het.Draakje @delphium • 17 oktober 2020 07:46

Ik ben het niet met je eens. Een beheerder hoort niet overal bij te kunnen komen. (Hij moet accounts kunnen gebruiken die ergens bij kunnen: Switch User). Een netwerk waar een beheerder overal bij kan komen is slecht ingericht.

Zelfs als een account gehacked wordt, en ga in een grote organisatie er maar vanuit dat zoiets met een zekere regelmaat gebeurd, dan nog moet je netwerk/servers veilig zijn. User-accounts die toegang verschaffen moeten gewoon in een Vault. Op verzoek (met motivatie) leverbaar, password wordt gegenereerd en na afloop van het werk automatisch gereset naar een random string.

Password hygiëne (moeilijkheidsgraad, verandersnelheid e.d.) moet gewoon van bovenaf vastgesteld worden. Secure inrichten van het netwerk moet ook door het management afgedwongen zijn.

Een beheerder die overal bijkomt

we leven niet meer in de jaren 80. Tegenwoordig heb je als bedrijf maar één zekerheid: medewerkers worden gehacked.

THA_ErAsEr @Het.Draakje • 17 oktober 2020 10:38

Je hebt net de theorie over 'hoe het moet' neergepent. Noem me 1 bedrijf waar het ook zo gebeurd. Ik heb de eenhoorn na 11 jaar nog niet tegengekomen.

Het.Draakje @THA_ErAsEr • 17 oktober 2020 11:56

Big Blue. En bepaalde klanten van hun.

Rickardur @Het.Draakje • 17 oktober 2020 14:16

mijn kennis is ook ict beheer, die heeft hetzelfde idee in het bedrijf waar ie de beveiling moet verzorgen.

hij heeft zelf gewoon een stapel accounts, allemaal met verschillende wachtwoorden.

kom ik aan met me thuisnetwerkje en alles hetzelfde wachtwoord

kaas-schaaf @THA_ErAsEr • 17 oktober 2020 13:39

Bij bedrijven die tooling leveren voor of zelf een (Q)TSP zijn gaan een stuk verder dan dit. Diegene die een certificaten voor bijvoorbeeld een van de PKI-O domeinen beheren kun je als voorbeeld dichter bij huis nemen. Namen mag men zelf opzoeken.

Voor "normale" bedrijven zal de adoptie jammer genoeg wat minder zijn vrees ik.

TWeaKLeGeND @THA_ErAsEr • 19 oktober 2020 05:58

Hint: Veel bedrijven die dit niveau of hoger hanteren blazen dat niet hoog van de toren noch mag je er 'even een kijkje komen nemen' (dus tenzij er een goede reden is kom je het helaas ook niet 'tegen'. Maar op zijn minst in de buurt komen van hoort toch wel een streven te zijn.

Maar hoe dan ook, plaintext cc gegevens opslaan en godmode admins binnen een miljardenconern?

[Reactie gewijzigd door TWeaKLeGeND op 24 juli 2024 09:53]

arjankoole @delphium • 17 oktober 2020 07:38

Plus de ongelofelijke blunder dat je nooit volledige credit card details mag opslaan. Ik heb een tijdje meegewerkt aan het online platform van een vliegmaatschappij (niet deze), en dat was regel 1. Het maakte niet uit dat ik in de database kon, want ik had er domweg niets aan. Daar werd ook op geaudit door een externe partij, en die audit was noodzakelijk voor het kunnen blijven afhandelen van creditcard transacties.

Dat alleen is al nooit te verdedigen.

kanduvisla @arjankoole • 17 oktober 2020 20:32

Klopt, zelfs als je gegevens logged moet je dit obfuscaten, net als NAW gegevens. Alles wat je wegschrijft kan gelekt worden. Zelfs log bestanden waarvan je denkt dat toch niemand er ooit bij kan.

c-nan @delphium • 17 oktober 2020 09:22

Niet mee eens. Menselijke fouten komen voor, wachtwoorden lekken uit, dat gebeurd altijd en overal en doe je niets tegen. Maar, als jij persoonlijke en financiële informatie verwerkt, dan hoor je te weten dat je dit soort gegevens nooit plain-text opslaat. Daar zit de fout. Dit valt niet goed te praten. Een zeer terechte boete.

Ik begrijp ook niet hoe dit door audit heen gekomen is.

[Reactie gewijzigd door c-nan op 24 juli 2024 09:53]

kramon 16 oktober 2020 17:01

Als je wat meer over de zaak wil weten: Darknet Diaries aflevering 52 gaat er vrij gedetailleerd op in: https://darknetdiaries.com/episode/52/

BezurK @kramon • 18 oktober 2020 00:05

Die podcast is hoe dan ook een MEGA aanbeveling als je ook maar een beetje cybersec nerd bent!

Bark_At_The_Cat @BezurK • 19 oktober 2020 11:07

Voor Darknet Diaries hoef je géén enorme cybersec-nerd te zijn. Het is voor iedereen met een beetje interesse in tech echt een enorme aanrader.

Ik begon ooit met ep. 45 en 46 (Xbox Underground) toen ik die afleveringen tegenkwam op Reddit. Ben toen van voor af aan begonnen.

TrekVogel 16 oktober 2020 17:52

50 pond per geval is veel te weinig lijkt me, gezien de uitgelekte informatie.

Korting geven omdat de sector er slecht voorstaat motiveert niet echt om het probleem aan te pakken.

Als dit een 'volkomen alledaags fenomeen' is zou de boete niet lager, maar juist veel hoger moeten zijn!

Anoniem: 696166 @TrekVogel • 16 oktober 2020 20:17

50 pond per geval is veel te weinig lijkt me, gezien de uitgelekte informatie.

Daar gaan we weer: elke keer als er een boete wordt gegeven struikelen tweakers over elkaar om als eerste te roepen dat het niet genoeg is.
Wat is volgens jou wel een juiste boete en waarop baseer je dat bedrag ("buikgevoel" is geen goede reden).
Er is voor zover bekend snel opgetreden en er is geen fraude bekend vanwege het lek. Niet dat dat ertoe doet, want dit gaat enkel over het datalek, niet over de eventuele fraude die er een gevolg van is.

Korting geven omdat de sector er slecht voorstaat motiveert niet echt om het probleem aan te pakken

nu mag je even uitleggen waarom een boete van 33 miljoen euro niet "motiverend" zou zijn. De dreiging van de boete en de reputatieschade was blijkbaar motiverend genoeg want ze hebben het probleem meteen aangepakt

Als dit een 'volkomen alledaags fenomeen' is zou de boete niet lager, maar juist veel hoger moeten zijn!

er is geen "korting" gegeven omdat het een alledaags fenomeen is. Er is korting gegeven omdat BA, net zoals alle andere luchtvaartmaatschappijen op de rand van het bankroet staat en dergelijke boetes wel eens de druppel zouden kunnen zijn. Nu mag jij erg flink verkondigen dat dat niet erg zou zijn want er was een datalek, maar ik vermoed dat de gemiddelde Brit daar anders over denkt.

Sando @Anoniem: 696166 • 16 oktober 2020 23:38

Het is altijd handig om even te kijken naar boetes die voor de gewone mens gelden.

Sta je met je voorwielen op de stoep omdat er geen parkeerruimte is? € 103 boete.
Niet hands-free aan het bellen in een auto met adaptische cruise-control en lane-assist? € 240 boete.
Rij je in een elektrische auto zonder uitstoot 130 km/u waar je nu nog maar 100 km/u mag vanwege de stikstof-uitstoot van andermans auto's? €308 boete.
Geen mondkapje op? €390 boete.
30 nummers downloaden via torrents? €456.100 boete.

Als jij de creditcardgegevens van een half miljoen mensen op het internet zet, wat zou dan de boete moeten zijn? €15.000?

Het CPB schatte het modaal inkomen in 2018 op € 34.500 per jaar. Deze boete zou dus ruim 40% van een jaarinkomen zijn. British Airways verdiende in 2018 zo'n 2,5 miljard euro. Een boete van 40% zou dan 1 miljard euro zijn.

Het kan ook andersom als je wilt weten of een boete hoog is. Voorbeeld: Apple Inc is 2 biljoen waard. 150 miljard op de bank. Boete van 10 miljoen. Als je alles door 5 miljoen deelt krijg je herkenbaardere getallen: Je hebt een afbetaald huis van 4 ton, 30k op je spaarrekening en je krijgt een boete van twee euro.

Minoesh @Sando • 17 oktober 2020 12:54

Die €456.100 is een schadevergoeding, geen boete. Dat maakt juridisch een verschil. Dit was en rechtszaak tussen twee privé partijen, niet een overheidsorgaan dat een boete oplegt.

(Ik weet dat het in de titel zo staat, dat klopt niet.)

[Reactie gewijzigd door Minoesh op 24 juli 2024 09:53]

Flagg @Sando • 17 oktober 2020 10:55

De eerste zin is al volledig onzinnig want het is helemaal niet handig, tenzij je de particulier graag als slachtoffer ziet.

Nou projecteer dat dan vooral op jezelf maar niet op de rest van de particulieren want ik vind die boetes volledig terecht net als deze voor BA.

De rest van je betoog is dan ook volledig irrelevant en nogmaals, onzinnig.

mjtdevries @Flagg • 17 oktober 2020 20:11

Leuk dat jij dat vind.

De waarheid is echter dat bedrijven wel degelijk kijken naar de hoogte van de boetes of ze het wel of niet interessant vinden om zich aan de regelgeving te houden.

De wetgeving in de AVG (GDPR) bestond in Nederland al tien jaar eerder.
Maar omdat er geen hoge boetes op stonden trok niemand zich er iets van aan.

Maar de AVG kan tot 10% van je omzet als boete opleggen. En toen gingen bedrijven ineens massaal zich wel wat van de regels aantrekken.

Die 33 miljoen is voor een British Airways echt niet zo'n schokkend bedrag. Die hebben grotere tegenvallers als de olieprijzen wat hoger uitvallen dan gedacht.
De reputatie schade zullen ze waarschijnlijk veel erger vinden.

-ION- @Sando • 18 oktober 2020 11:02

Niet hands-free aan het bellen in een auto met adaptische cruise-control en lane-assist? € 240 boete.
Rij je in een elektrische auto zonder uitstoot 130 km/u waar je nu nog maar 100 km/u mag vanwege de stikstof-uitstoot van andermans auto's? €308 boete.

Bah bah, mensen die denken dat ze boven de wet (en dus andere burgers) staan omdat ze een luxe of elektrische auto kunnen betalen.

page404 @TrekVogel • 16 oktober 2020 21:26

En dan nog de gevolgschade van dit lek. Ik was een van de accounts die gelekt was, en ik heb een nieuwe card gekregen met alle ongemakken van dien. Dat is iets waar niet BA maar de CC maatschappij voor opdraait. Plus alle administratieve rompslomp voor de klanten.

Arjan P @TrekVogel • 16 oktober 2020 19:42

Korting geven omdat de sector er slecht voorstaat motiveert niet echt om het probleem aan te pakken.

Sterker nog, als dat de werkelijk enige reden is voor de korting is het grove rechtsongelijkheid - en een mooie aanleiding voor elk ander bedrijf om hun boete wat omlaag te 'onderhandelen' met verwijzing naar BA..

webhalla @Arjan P • 16 oktober 2020 22:45

Erger nog, het geeft het bedrijfsleven een motivatie, na een risicoinschatting, om bij economische slechte tijden te bezuinigen op de bescherming van persoonsgegevens. Waarom nog dure ict-specialisten inschakelen voor beveiligingsconfiguratie en monitoring als er bij de boetes met de slechte economische situatie rekening wordt gehouden? Daardoor is mijn en uw privacy minder waard bij bedrijven waarvan je niet weet dat het slecht gaat.

slaapkopje @TrekVogel • 16 oktober 2020 18:25

De intentie was om 183 miljoen pond boete te geven, dus hebben ze een behoorlijke korting weten te regelen.

https://ico.org.uk/about-...-to-fine-british-airways/

bussie66 16 oktober 2020 17:20

1: Tijdens de gesprekken over de hoogte van de boete, noemde Britisch Airways datalekken met creditcardgegevens tegenover de ICO 'een volkomen alledaags fenomeen.

2: in platte tekst belangrijke gegevens opslaan

Wat een amateurs!

Boete had veel hoger moeten zijn ondanks de crisis.

Tevens verantwoordelijke mensen strafrechterlijk vervolgen en flinke poos laten brommen.

Anoniem: 310408 @bussie66 • 16 oktober 2020 20:01

Tevens verantwoordelijke mensen strafrechterlijk vervolgen en flinke poos laten brommen.

Moeten het laag magement ontslagen worden (die de mensen die de fout hebben gemaakt aansturen)?
Moeten het middel magement ontslagen worden (die de mensen die de mensen die de fout hebben gemaakt aansturen)?
Moeten het hoger magement ontslagen worden (die mensen die de mensen die de mensen die de fout hebben gemaakt aansturen)?
Moeten het top magement ontslagen worden (die mensen die de mensen die de mensen die de fout hebben gemaakt aansturen)?
Moet de CEO ontslagen worden (die mensen die de mensen die de mensen die de mensen die de mensen die de mensen die de mensen die de fout hebben gemaakt aansturen)?
Moeten de aandeelhouders 'ontslagen' worden omdat ze de CEO geaccepteerd hebben?

zeg het maar en ik vertel je de problemen. Als je toch antwoord geeft, onder wlke wet wil je ze de gevangenis in hebben? Een wet die je zelf bedacht hebt of een wet die werkelijk bestaat?

[Reactie gewijzigd door Anoniem: 310408 op 24 juli 2024 09:53]

tonkie_67 @Anoniem: 310408 • 16 oktober 2020 22:32

De CEO van BA ten tijde vh datalek is inmiddels de laan uit en dit event was een van de redenen van het ontslag.
Niet omdat hij persoonlijk een directe fout had gemaakt maar was wel verantwoordelijk voor een cultuur waar dit kon gebeuren.
Maar er waren ook een aantal andere issues waarvoor Alex Cruz veramtwoordelijk wordt gehouden. Bron (oa):
https://www.google.com/ur...Vaw0ujq4kRUh2Ixow-a6DcB65

sleepwalkerbe @Anoniem: 310408 • 16 oktober 2020 21:47

Voor de meeste rollen in een bedrijf zijn er toch echt wel C-level mensen verantwoordelijk.

In dit geval is het heel duidelijk de CTO die de eindverantwoordelijke is binnen het bedrijf. Hij/Zij zal ook aangesproken worden in geval van andere ernstige technische issues door CEO en aandeelhouders.

Iedereen wil een C-level rolletje en rustig achterover leunen ofzo maar samen met de bakken geld die je voor de rol krijgt hoort ook een bak verantwoordelijkheid. Wil je die verantwoordelijkheid niet , neem dan een stap terug - simpel toch?
(Verzekeringen bestaan trouwens voor fouten op werkvloer en elke D&O zou dit moeten hebben dus persoonlijk vliegen ze de bak mss niet in maar ze gaan beter opletten)

[Reactie gewijzigd door sleepwalkerbe op 24 juli 2024 09:53]

mjtdevries @sleepwalkerbe • 17 oktober 2020 20:15

In dit geval is het heel duidelijk de CTO die de eindverantwoordelijke is binnen het bedrijf

Vertel eens hoeveel invloed een CTO heeft op een beheerder die zijn password ergens in een text bestandje opslaat?

Of komt het ineens te dicht bij het als de mensen op het niveau van de gemiddelde tweaker zijn die hier de grote blunders hebben begaan?

Ik zie weiing mensen hier roepen dat die beheerder ontslagen moet worden?
Management de schuld geven is wel erg makkelijk he?

Core2016 @mjtdevries • 18 oktober 2020 00:22

Is het niet veelal dat er tegenwoordig zo veel 'niet' programmeurs overal vandaan gehaald zijn? Van accountants tot zebraverzorgers. Mensen met een moreel maar ook talentvolle jeugd zonder en dat allemaal zonder ervaring.. Er zijn te weinig programmeurs..

Ik zie het net als Muzikanten/Djs. Vroeger was dat een vak. Nu is er techniek. Heb je de top 40 al eens gehoord?
Ik denk dat altijd echt aan het management ligt.

[Reactie gewijzigd door Core2016 op 24 juli 2024 09:53]

ejabberd @Anoniem: 310408 • 16 oktober 2020 22:58

...en het bedrijf kan misschien ook de werknemer, die zijn wachtwoord had opgeslagen in een tekstbestand, op staande voet ontslagen door grote nalatigheid.

Ze kunnen zelfs bij de politie een klacht indienen tegen de betrokken werknemer voor sabotage. Zeker als duidelijk is opgenomen in het arbeidsreglement dat dit niet mag of er bewijzen zijn dat dit absoluut verbod duidelijk is gecommuniceerd.

ajow @Anoniem: 310408 • 16 oktober 2020 23:25

Om een kleine statement toe te voegen:
wie was er nu echt fout? Het bedrijf? Of de hackers?

De hackers zijn uiteraard fout!
Zij zijn het die de persoonsgegevens misbruiken... (of door verkopen)

Helaas zijn er zulks soort veiligheids maatregelen nodig in deze wereld..., En zijn bedrijven verantwoordelijk voor het veilig bewaren van (gevoelige) persoonsgegevens

[Reactie gewijzigd door ajow op 24 juli 2024 09:53]

Sorcerer8472 @bussie66 • 16 oktober 2020 17:41

Tevens verantwoordelijke mensen strafrechterlijk vervolgen en flinke poos laten brommen.

Wie is dat dan precies? De developer die de betreffende regel code die logt heeft geschreven? De mensen die de commit hebben goedgekeurd? De systeembeheerder die het draaien van het script heeft goedgekeurd? Etc. etc. etc.

Anoniem: 454358 @Sorcerer8472 • 16 oktober 2020 17:48

Tja, op tweakers krijgt het management vaak de schuld, maar het is toch de dev die alles op 'papier' zet.
Strafrechtelijk is bijna niet te doen, want wat als je als dev je baas niet lief vind? Paar regels code en hij gaat de bak in?

Ircghost @Anoniem: 454358 • 16 oktober 2020 18:00

Uiteindelijk is het management (de C functies) verantwoordelijk voor de beslissingen van hun medewerkers, zo werkt dat nou eenmaal. Natuurlijk is dat wel genuanceerd, er moet natuurlijk wel bewezen kunnen worden dat de acties van het personeel het duidelijke gevolg zijn van het beleid / acties van de verantwoordelijke C functie.

I.e. ontbreken van policy/procedures over wachtwoord gebruik in de security policy zou bijvoorbeeld een goed voorbeeld zijn bij een volwassen bedrijf zoals dit. Of bijvoorbeeld wanneer tijdens de audit / het AP onderzoek naar voren komt dat medewerkers geklaagd hebben (i.e. Security Officers) dat hun interne bevindingen zijn dat de developers regelmatig en stelselmatig wachtwoorden in plain text opslaan, en dat de desbetreffende C functie hier niet op of laconiek op gereageerd heeft.

Het.Draakje @Anoniem: 454358 • 16 oktober 2020 18:23

Uiteindelijk is wel het management verantwoordelijk voor de mindset van het bedrijf. Als ik zo lees dat het per 2015 al mis ging en dat men dat in pak-em-beet 2 1/2 jaar niet opmerkt vraag ik me toch wel wat af.

Een beetje applicatie/systeembeheerder kijkt toch naar log-files en trekt aan de bel als hij dat soort gegevens leest. En als dev. niet afdoende reageert dit toch wel even aankaart bij compliance?

De applicatieverantwoordelijk zal toch e.e.a. wel controleren bij een software update. En bevindingen in zijn logboek melden (en op de to-do lijst zetten). Besef dat je persoonlijke c.q. vertrouwelijke informatie in je systeem hebt en een beetje security minded is toch niet teveel gevraagd?

Een auditor zal toch behoren te controleren of er procedures voor controle aanwezig zijn en dat die ook uitgevoerd worden. Niet alleen van de applicatie, maar voor alle log-files, zelfs als ze niet aangemaakt worden terwijl dat wel het geval had moeten zijn. Een auditor kan zich heden ten dage echt niet meer verstoppen achter: ik snap niets van techniek of computersecurity.

Dus, ja het personeel heeft de fouten daadwerkelijk begaan. En zou zich kapot moeten schamen (en niet afdoen met 'alledaags verschijnsel'. Wellicht zelfs een behoorlijk tik op de vingers moeten hebben.

Maar de directie is wel degelijk schuldig aan het ontstaan en handhaving van deze lakse houding. Een persoonlijke afrekening met het verantwoordelijk directielid is niet bepaald overdreven.

SilverRST @Anoniem: 454358 • 16 oktober 2020 19:06

Dan moet de baas voortaan lief doen

Maar joking aside, het zal heel moeilijk zijn om achter te komen wie de échte verantwoordelijke is en tevens moet je met harde bewijzen komen. Een heel hoge boete zal ze wel leren.

Kabouterplop01 @Anoniem: 454358 • 18 oktober 2020 10:00

Dat is terecht, het management is verantwoordelijk; als de admin zegt hier hebben we het Pen test rapport van onze serverfarm we hebben 1 high, 1 critical en 12 low findings, dan zegt management de low findings hoeven niet in deze sprint.(Als er überhaupt een proces voor is ingericht)
Terwijl de aaneenschakeling van die low findings wel eens een breach als gevolg van zouden kunnen zijn.
Nou heb ik een hoge pet op van deze admin dus ik denk dat dit voorbeeld niet helemaal juist is.

Rabb @bussie66 • 17 oktober 2020 13:38

Want keihard straffen is dé manier om mensen te corrigeren. Als we dan toch bezig zijn nog even lijfstraffen doorvoeren.

'Boete had veel hoger moeten zijn ondanks de crisis.'
Want nergens leert een bedrijf beter van dan een faillissement.

Uiteindelijk betaald de consument, dus een boete die relatief is aan de staat van de (wereld) economie lijkt me hier ontzettend om zijn plaats.

Division 16 oktober 2020 16:59

"Tijdens de gesprekken over de hoogte van de boete, noemde Britisch Airways datalekken met creditcardgegevens tegenover de ICO 'een volkomen alledaags fenomeen'."

Lekkere mindset. Onderhouden ze hun vliegtuigen ook zo?

Anoniem: 310408 @Division • 16 oktober 2020 19:55

"Tijdens de gesprekken over de hoogte van de boete, noemde Britisch Airways datalekken met creditcardgegevens tegenover de ICO 'een volkomen alledaags fenomeen'."

Lekkere mindset. Onderhouden ze hun vliegtuigen ook zo?

Ik begrijp dat dit een lekker pakkende tekst is, maar het is uit context. In het complete verhaal heeft hebben de advocaten van BA aangetoond dat dit meer dan honderd keer is voorgekomen en hebben de gevolgen en straffen (waar aplicabel) van al die hacks naast elkaar gezet. De rechters zijn daarin mee gegaan en hebben de strafmaat aangepast maar wat 'de norm' is.

Jij bent het niet eens met die norm. Als je een UK passpoort hebt kan je dat in de volgende verkiezing duidelijk maken. Als je dat niet hebt, heb je er helaas helemaal niets over te zeggen.

---------

BA heeft een zeer goede reputatie in zijn onderhoud van vliegtuigen trouwens. Ze doen het onderhoud van vele andere maatschappijen. Hoewel BA wat pech heeft gehad met een aantal modellen hebben ze een van de beste reputaties op het gebied van ongelukken en storingen.

Fijinees @Anoniem: 310408 • 17 oktober 2020 00:04

Dat kan op een andere manier ook worden gedaan. Door BA te mijden.

arjankoole @Anoniem: 310408 • 17 oktober 2020 07:43

Off-topic, I know.

Als je een UK passpoort hebt kan je dat in de volgende verkiezing duidelijk maken.

Niet waar. Als je te lang buiten de uk verblijft verlies je je stemrecht. (Dat mag niet, is een mensenrechten schending).

Daarom waren duizenden Britten (800.000, is een getal wat ik opving) woedend, omdat ze niet mochten stemmen in het Brexit referendum, terwijl het hun potentieel veel meer zou treffen dan een Brit die in Sussex woont.

Mijn vriendin is er een van. Woont en werkt al bijna 20 jaar in Europa. Gelukkig is de NL regering bijzonder soepel en eenvoudig geweest met hoe ze dat hebben afgehandeld. Waar ze eerst woonde (Wenen) was het een stuk moeilijker. (Maar niet onmogelijk).

Jorgen @Division • 16 oktober 2020 17:19

Het ís helaas ook een alledaags fenomeen. Iedereen hier op Tweakers lijkt inmiddels wel doordrongen van het feit om je beveiliging op orde te hebben, maar kennelijk hebben zoveel mensen en bedrijven nog steeds zoiets van "we zien wel". Dat mag echter geen excuus zijn natuurlijk. Goed dus dat ze een flinke boete krijgen.

Q @Jorgen • 16 oktober 2020 18:16

Boetes zijn niet goed genoeg. Die worden gewoon betaald onder het mom van the cost of doing business.

Ik wil harde celstraffen zien voor het hele C-level team.

Jorgen @Q • 16 oktober 2020 18:23

Da's misschien weer een beetje te zwaar. Ook BA zal GBP 20M toch niet graag zomaar afschrijven

vickypollard @Jorgen • 16 oktober 2020 18:25

Ik kan me ook niet voorstellen dat het opslaan op deze manier dermate veel voordeel oplevert dat die £20M als 'cost of doing business' beschouwd kan worden.

arjankoole @Q • 17 oktober 2020 07:47

Boetes zijn niet goed genoeg. Die worden gewoon betaald onder het mom van the cost of doing business.

Ik wil harde celstraffen zien voor het hele C-level team.

Dat kan juridisch niet volgens mij.

In farmaceutische bedrijven wel, maar dat is niet op C niveau, daar is per land (en/of regio als de EU) een SQP (senior qualified person), doorgaans een arts, die verantwoordelijk is. Als dat niet in orde is, gaat die persoon naar de gevangenis.

De leidinggevende van mijn vriendin is er zo een. Reken maar dat hij en zijn team de boel strak de gaten houden.

Q @arjankoole • 17 oktober 2020 15:48

Wie specifiek de gevangenis in gaat maakt me eigenlijk niet uit. Als er maar iemand de gevangenis in gaat want dat maakt uit, zoals je zelf mooi schetst (dank daarvoor).

bbob @Jorgen • 16 oktober 2020 17:58

Wat mij verbaasd is dat je als webshop of bedrijf creditcard betalingen via een payment provider kan doen, die worden normaal gecertificeerd moeten een beveiligde omgeving hebben.
Je kan ook contact met credit card processsor afsluiten en dan sla je idd zelf gegevens op. Ik zou verwachten dat die voordat ze een contract afsluiten ook checken en eisen dat je deze veilig opslaat en dat ook kan aantonen. Het is nam,elijk ook in hun belang dat creditcard gegevens niet uitlekken.
Vraag me dus af waarom er van die kant niets gebeurt.

arjan1995 @bbob • 16 oktober 2020 18:50

Ze sloegen het ook veilig op. Maar logde het alleen vervolgens in plain text

Maar even on-topic: Het is inderdaad bizar dat ze er zo op reageren. Een beetje verantwoordelijkheid nemen is op zijn minst toch op zijn plaats?

tweaknico @Division • 16 oktober 2020 19:44

Hm. als dat bij BA dagelijkse praktijk is dan was zelfs GBP 183M nog te weinig.

Overigens is CVV code opslaan zo wie zo verboden. Hopelijk zeggen de CC maatschappijen hun contracten op.

Kabouterplop01 @tweaknico • 18 oktober 2020 09:46

Contracten opzeggen zal niet zo snel gebeuren, het is immers ook cashflow voor hen.
De boete daarvoor zou alleen al het te betalen bedrag moeten zijn. Voor het opslaan in platte tekst nog eens hetzelfde en voor de opmerking zou het management eigenlijk gewoon zweepslagen moet krijgen.

'een volkomen alledaags fenomeen' Die woordvoerder heeft helaas gelijk. Dat kun je zien aan het aantal ransomware besmettingen die betaald worden. Ik denk dat ze hun les hebben geleerd want ze zijn nog niet te grazen genomen door een ransomware gang. (als ik het goed heb)

robvanwijk @Division • 17 oktober 2020 15:31

Lekkere mindset.

Ik zou het ook niet zeggen (zeker niet op het moment dat ik zelf op het strafbankje zit), want het klinkt alsof je willens en wetens nalatig bent geweest, maar in alle eerlijkheid: ze hebben wel degelijk gelijk.

Onderhouden ze hun vliegtuigen ook zo?

Compleet zinloze opmerking; neerstortende vliegtuigen zijn op geen enkele manier "een volkomen alledaags fenomeen". Als er ergens op de wereld een passagiersvliegtuig neerstort dan is dat automatisch wereldwijd dagenlang voorpagina nieuws. Dat hoef je echt niet te proberen met aanrijdingen met auto's, moorden en vrijwel elke andere doodsoorzaak. Vliegtuigen in het algemeen zijn extreem veilig en ik ben niet op de hoogte van enige reden om te denken dat BA daar de kantjes eraf loopt.

Nevel 16 oktober 2020 17:56

Misschien is het wishful thinking, maar volgens mij verschuift de vraag "Waarom heeft bedrijf x zijn systeem zo slecht beveiligd?" langzamerhand naar "Waarom beschikt bedrijf x uberhaupt over deze gegevens?". Ik ga er bijvoorbeeld voor het gemak even van uit dat de creditcard gegevens die hier genoemd worden onder de klantgegevens vallen. Natuurlijk verzamelen bedrijven die graag, maar hoeveel heb je daadwerkelijk nodig om de door de klant gewenste service te bieden? Ik chargeer een beetje, want allerlei intelligentiediensten graaien ook graag in die bak data, maar ik denk dat we ons dat ook best mogen afvragen mbt webshops. Heeft een webshop echt mijn adresgegevens nodig als ik een bestelling plaats, of is dat alleen relevant voor de pakketbezorger? Ook dat ligt gecompliceerder, maar ik zie het wel gebeuren dat we op de site van de webshop zelf alleen de bestelling plaatsen, waarna we (vergelijkbaar met payment services) de NAW gegevens aan een aparte service verschaffen, die op zijn beurt ook alleen de gegevens heeft die nodig zijn om de bestelling te bezorgen (en deze na bezorging vernietigt). De truc wordt dan natuurlijk wel om ervoor te zorgen dat deze tussenlaag niet commercieel wordt uitgebuit, want dan ligt verkoop van gegevens etc. alsnog op de loer. Misschien zou zo'n service wel een mooie taak zijn voor de overheid.

Het.Draakje @Nevel • 16 oktober 2020 18:45

Aangezien een luchtvaartmaatschappij graag betaalt wil worden als je een retourtje ibiza neemt. Of teveel (hand)bagage meeneemt, danwel liefst die stoel bij het raam reserveert, is het registeren van een creditcard niet geheel vreemd.

Is het onzinnig dat een webshop jouw NAW gegevens heeft? Wie huurt de bezorger in, die volgens jou wel over de adresgegevens zou moeten beschikken. Moet ik na bestelling ook nog even gaan communiceren met de bezorger waar hij de spullen moet brengen? Liever niet.

Dan heb je nog zoiets als de belasting. Wist je dat jij wettelijk meer belasting betaalt bij een Nederlandse / Europese webshop dan ik. (Iets met ingezetene of niet). Informatie die de webshop wel nodig heeft om zelf zijn belasting af te kunnen dragen.

Beveiliging is het probleem. Niet de gegevens zelf.

[Reactie gewijzigd door Het.Draakje op 24 juli 2024 09:53]

Nevel @Het.Draakje • 16 oktober 2020 20:33

Volgens mij gaf ik aan dat ik bewust wat kort door de bocht beredeneerde, maar goed, als we dan toch de details in duiken:

Uiteraard is beveiliging van belang. Maar het feit dat er ontelbare plekken zijn waar onze data verzameld wordt lijkt me op zichzelf ook al een probleem, aangezien op die manier de kans aanzienlijk wordt vergroot dat je data linksom of rechtsom wordt achterhaald door onbevoegden.

Wat de webservice betreft (wat natuurlijk maar een van de vele mogelijke manieren is om het overkoepelende probleem aan te pakken) :

Voor een luchtvaartmaatschappij zal het ongetwijfeld van belang zijn om te weten of je betaald hebt. Via welke bank of kaart dat is gebeurd is in mijn ogen een ander verhaal.
Ik beweer niet dat het onzinnig is dat een webshop onze NAW gegevens bezit. Wel vraag ik me openlijk af of dat strict noodzakelijk is. Natuurlijk zijn er nog wat beren op de weg om mijn groffe schets tot een werkende service en een groot succes te maken , maar volgens mij zijn die best te tacklen als we hier iets langer over nadenken.
Wat ik voor ogen heb, is dat je net als bijvoorbeeld iDeal, als onderdeel van een bestelproces je adresgegevens achterlaat, maar dat die op eenzelfde manier door een externe service worden geregistreerd. De webshop kan vervolgens aan de pakketbezorger aangeven over welke transactie het gaat (op basis van een unieke ID?) en de bezorger kan de NAW data dan weer uit die externe service trekken. Op die manier hoeft de verkoper het adres niet te kennen.
Ik had niet stil gestaan bij de belastingverschillen die je noemde. Goed punt, ik denk dat dat ook via de externe service valt af te handelen. Dus: de webshop krijgt een bestelling binnen, kan niet bij het adres waar het pakket naar toe moet, maar krijgt wel de hoogte van de belasting/frankering etc. door (ik neem aan dat die aan de hand van de twee adressen berekend kunnen worden). De pakketdienst checkt via de externe service waar het pakket heen moet, levert het af, en zet na bezorging een vinkje dat ervoor zorgt dat ook de externe service niet meer weet waar het pakket is bezorgd. Volgens mij werkt iedereen op die manier via een need to know principe.

[Reactie gewijzigd door Nevel op 24 juli 2024 09:53]

Het.Draakje @Nevel • 17 oktober 2020 04:26

Voor de luchtvaartmaatschappij is de bank wel van belang want je rekent die stoel gewoon met hun af. Je koopt het ticket niet bij www.booking.com maar rechtstreeks bij British Airways. Niet iedere passagier zal al die dingen van BA afnemen, maar sommige wel.

Voor webshops kan je inderdaad gaan denken aan een aparte service maar geen webshop die zijn processen gaat omgooien (wie gaat dat betalen?) Tenzij het wettelijk verplicht is. Maar hoe regel je dat dan bij Amazon.com (niet de .nl of .de) of onze grote vriend AliBaba ? Sommige sites kennen de mogelijkheid om zelf een transporteur te kiezen en berekenen aan de hand van het adres wat de verzendkosten zijn (de web-site heeft dus al het adres nodig vóór je ook maar tot bestelling komt). Ik heb echt wel eens een boek willen bestellen (alleen verkrijgbaar bij Amazon.com en niet bij Amazon.co.uk en dergelijke) waar ik tijdens het bestel proces een bezorgkosten zag die ruim het dubbele was van het boek zelf. (Laat maar dacht ik toen). Achteraf er achter komen hoeveel de bezorgkosten zijn lijkt me ook niet het fijnste wat er is.

Uiteraard gaan we er even voor het gemak vanuit dat de wet hier geen beperkingen in kent. (Anonieme klanten toegestaan).

Need to know klinkt heel leuk. Maar de "need" is groter dan we denken en het veranderen heeft heel veel voeten in de aarde.

Nevel @Het.Draakje • 19 oktober 2020 13:21

Dat lijken me grotendeels terechte punten.

Ik heb overigens ook weleens afgezien van bestellingen die twee keer zo duur uitpakten vanwege de invoerrechten.

Ik ben het helemaal met je eens dat webshops, marketeers, analytics fanboys & girls, etc niet snel af zullen zien van hun honger naar data, waardoor we dat inderdaad bij wet zullen moeten afdwingen. Dat lijkt me dan ook slechts een kwestie van tijd, maar misschien ben ik in dit opzicht wel erg optimistisch.

Het voorbeeld van deze "third party" service laag komt vooral voort uit mijn overtuiging dat het belangrijk om ook vanuit onze "rol" als consument (of afnemer van een dienst) stil te staan bij de vraag wie welke gegevens van ons wil hebben en waarom. Ik blijf dan ook wel bij mijn standpunt dat het hoge aantal bedrijven en overige instanties dat data over ons opslaat op zichzelf een risico vormt wat het beveiligen van onze gegevens betreft.

R4gnax

Datalek

@Het.Draakje • 16 oktober 2020 20:27

Dan heb je nog zoiets als de belasting. Wist je dat jij wettelijk meer belasting betaalt bij een Nederlandse / Europese webshop dan ik. (Iets met ingezetene of niet). Informatie die de webshop wel nodig heeft om zelf zijn belasting af te kunnen dragen.

Voor BTW afdracht heeft een webshop voldoende aan 2 niet conflicterende data punten. NAW gegevens zijn inderdaad een geldig data punt. IP adres ook. Betalingsgegevens (bijv. een Nederlands rekeningnummer of creditkaartnummer) ook. Het gebruik van een landsgebonden betaalmethode zoals iDEAL ook. Het prijsgegeven van enige vorm van andere gegevens waaruit land herleidt kan worden, ook. Bijv. het opgeven van een +31 vast telefoonnummer als contact informatie. Of het gebruik van een email adres met een NL domein.

[Reactie gewijzigd door R4gnax op 24 juli 2024 09:53]

Het.Draakje @R4gnax • 17 oktober 2020 04:00

Neen, ik heb iDeal, en een nederlandse bankrekening. Met een adres in het buitenland. Van die gegevens kan je niet afleiden dat ik een vrijstelling van belasting heb.

Als ik in Nederland ben heb ik ook tijdelijk een NL telefoonnummer. Maar ik ben wel degelijk van buiten de EU.

R4gnax

Datalek

@Het.Draakje • 17 oktober 2020 12:06

Neen, ik heb iDeal, en een nederlandse bankrekening. Met een adres in het buitenland. Van die gegevens kan je niet afleiden dat ik een vrijstelling van belasting heb.

Daarom geldt dus ook: 2 niet conflicterende data punten. (En in het geval van iDEAL en de nederlandse bankrekening is dat feitelijk één data punt; iDEAL wordt eigenlijk alleen door Nederlandse banken of bankvestigingen aangeboden.)

Voor fysieke goederen geldt trouwens dat de lidstaat van consumptie enkel bepaald wordt door het punt waar het laatste transport in de transportketen naar de koper eindigt, wanneer het inkomen van de verkoperboven een bepaald plateau komt. Daaronder geldt dat de lidstaat van consumptie bepaald wordt door het punt waar het laatste transport begint.

Dat heeft ook een aantal interessante gevolgen. Een product wat bijv. bij een Duitse webshop besteld wordt en vanuit een Duits magazijn naar NL verscheept wordt, valt bij een inkomen onder die grens onder de Duitse BTW en bij een inkomen boven die grens onder de Nederlandse BTW. Wordt datzelfde product verscheept vanuit een Nederlands magazijn naar een Nederlandse klant, valt het in beide gevallen onder de Nederlandse BTW. Wordt het product vanuit dat Nederlandse magazijn naar een Duitse klant verscheept dan speelt de inkomensgrens opnieuw, en werkt het omgekeerd: onder de grens geldt de Nederlandse BTW en boven de grens de Duitse BTW. Ongeacht het feit dat de webshop in kwestie zelf Duits is.

Omdat dit een behoorlijk hoofdpijngeval is voor iedereen om correct aan te voldoen, heeft de EU ingezet op het verder openstellen van de MOSS (Mini One-Stop Shop) regeling voor elektronisch diensten zodat andere diensten en ook goederen hier van gebruik kunnen maken. Onder MOSS geldt altijd dat de lidstaat van consumptie de locatie van de koper is en gelden sterk versimpelde regels voor hoe de BTW opgegeven moet worden. (Dit mag bij MOSS in cumulatieve kwartaalrapportages zonder al te veel details over de individuele transacties.)

[Reactie gewijzigd door R4gnax op 24 juli 2024 09:53]

DamirB 16 oktober 2020 17:00

Ik vind de laatste het meest zorgwekkend om heel eerlijk te zijn. Ben ook benieuwd of dit voor alle airlines onder de IAG ook het geval is.

Anoniem: 454358 16 oktober 2020 17:11

tja, zodra aanvallers kunnen inloggen op de server kunnen die natuurlijk van alles. Al sla je dan de gegevens versleuteld op. Zo kun je nieuwe loggers maken of activeren, js aan de website toevoegen etc etc.

GreatDictator 16 oktober 2020 17:15

de boete van omgerekend 33 miljoen euro

Welke bank gebruikt Tweakers? 20 miljoen pond is net iets meer dan 22 miljoen euro, afhankelijk van je wisselkoers. De euro en het pond hebben bijna gelijke waarde (en zal tegen 1 januari wel 1:1 zijn).

Xm0ur3r 16 oktober 2020 17:46

''Platte tekst'' Brrr, ik vindt het zo jammer dat steeds meer typische IT termen zo nodig naar het Nederlands vertaalt moeten worden. Ik had ook serieus even nodig voor ik begreep wat er bedoelt werd. Als een collega mij zou vertellen dat hij een wachtwoord in platte tekst heeft opgeslagen dan zou ik hem even wazig aankijken en niet omdat ik geshockeerd ben door zijn werkwijze...

Standeman @Xm0ur3r • 16 oktober 2020 18:07

Platte tekst is al 25 jaar een gangbare term onder developers. Tijdens mijn studie in 1996 werd het al zo genoemd.

.oisyn Moderator Devschuur® @Standeman • 16 oktober 2020 19:08

Platte tekst komt uit de drukkunst en verwijst eigenlijk naar tekst zonder opmaak, die door een platzetter gezet wordt.

R4gnax

Datalek

@.oisyn • 16 oktober 2020 20:22

Platte tekst komt uit de drukkunst en verwijst eigenlijk naar tekst zonder opmaak, die door een platzetter gezet wordt.

En voor plain text geldt hetzelfde. Dit is dus een vertaling die via een andere betekenis/associatie van het woord loopt.

Strikt gezien zouden wij het hier onversleutelde tekst kunnen noemen.

[Reactie gewijzigd door R4gnax op 24 juli 2024 09:53]

Navi @Standeman • 16 oktober 2020 18:34

Klopt en als developer noem ik het ook zo, maar eigenlijk is het denk ik niet juist.

Plain text vertaald zich ook niet direct naar platte tekst.

Misschien ongecodeerde tekst oid? Is ook geen vertaling maar dekt de lading beter dan bv leesbare tekst.

EDIT: Zie hieronder onversleutelde tekst, das ook een goeie.

[Reactie gewijzigd door Navi op 24 juli 2024 09:53]

SilverRST @Navi • 16 oktober 2020 19:11

Zelf ben ik geen developer maar ik gebruik de termen plain text en platte tekst ook want verder kan je er niks op verzinnen om het nog makkelijker te laten begrijpen.

En ongecodeerde tekst is nog erger want spionachtige termen. Of iets wat uit de oorlogen komt. Beste is dan 'simpele wachtwoorden tekst'?