Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

British Airways sloeg beheerderswachtwoord en creditcarddata in platte tekst op

British Airways heeft een boete van 20 miljoen pond opgelegd gekregen van de Britse toezichthouder ICO, omdat de luchtvaartmaatschappij zijn beveiliging niet goed op orde had. Onder andere sloeg het bedrijf gevoelige gegevens onversleuteld op.

De Information Commissioner’s Office kwam tot de boete van omgerekend 33 miljoen euro na onderzoek naar een grootschalig datalek in 2018, waarbij persoonsgegevens van 380.000 personen gestolen werden, waaronder creditcardgegevens inclusief ccv-nummers. De privacyautoriteit beschrijft het verloop van de hack van de betaalsystemen en somt op waar het mis ging met de beveiliging.

De aanvallers wisten toegang te krijgen tot de netwerken van British Airways met behulp van accountgegevens van een medewerker van Swissport. Van daaruit wisten de aanvallers tools binnen de Citrix-omgeving te krijgen, waarmee ze het netwerk konden doorlichten. Zo kwamen ze achter een inlognaam en wachtwoord van een beheerdersaccount die in platte tekst waren opgeslagen en die volgens de ICO vrijwel ongelimiteerde toegang tot het domein gaven.

Zo wisten de aanvallers in te loggen op meerdere servers en konden ze op 26 juli 2018 toegang verkrijgen tot logbestanden met, opnieuw in platte tekst, opgeslagen creditcardgegevens, inclusief ccv-nummers. Dankzij een testfunctie die door een menselijke fout live stond, waren de creditcardgegevens sinds december 2015 zo onversleuteld gelogd. De retentieperiode was beperkt tot 95 dagen, wat de schade enigszins beperkte, maar alsnog waren van 108.000 kaarten de gegevens zo inzichtelijk.

De boete is veel lager dan het bedrag van 183 miljoen pond waar de ICO vorig jaar mee dreigde, onder andere omdat de luchtvaartsector in financiele moeilijkheden verkeert door de coronapandemie. Tijdens de gesprekken over de hoogte van de boete, noemde British Airways datalekken met creditcardgegevens tegenover de ICO 'een volkomen alledaags fenomeen'.

Door Olaf van Miltenburg

Nieuwscoördinator

16-10-2020 • 16:57

91 Linkedin

Reacties (91)

Wijzig sortering
Veel mensen hier doen als of het hen nooit zou overkomen, maar dit is toch best een uitgebreide hack geweest. De ellende is begonnen met het lekken van de accountgegevens van een medewerker van Swissport. Vervolgens is er een andere medewerker (met veel rechten op het netwerk!!) zo slim geweest om zijn logingegevens van de Citrixomgeving ergens in een tekstbestandje op te slaan. Daarmee konden ze op servers inloggen en logbestanden bekijken, die anders dus alleen voor de beheerder zichtbaar waren.

Niet om het goed te praten, maar dit is een keten van fouten geweest, waarbij de meest ernstige in mijn ogen zijn, de twee accounts die zijn gelekt. PEBCAC dus.
Ik ben het niet met je eens. Een beheerder hoort niet overal bij te kunnen komen. (Hij moet accounts kunnen gebruiken die ergens bij kunnen: Switch User). Een netwerk waar een beheerder overal bij kan komen is slecht ingericht.

Zelfs als een account gehacked wordt, en ga in een grote organisatie er maar vanuit dat zoiets met een zekere regelmaat gebeurd, dan nog moet je netwerk/servers veilig zijn. User-accounts die toegang verschaffen moeten gewoon in een Vault. Op verzoek (met motivatie) leverbaar, password wordt gegenereerd en na afloop van het werk automatisch gereset naar een random string.

Password hygiëne (moeilijkheidsgraad, verandersnelheid e.d.) moet gewoon van bovenaf vastgesteld worden. Secure inrichten van het netwerk moet ook door het management afgedwongen zijn.

Een beheerder die overal bijkomt 8)7 we leven niet meer in de jaren 80. Tegenwoordig heb je als bedrijf maar één zekerheid: medewerkers worden gehacked.
Je hebt net de theorie over 'hoe het moet' neergepent. Noem me 1 bedrijf waar het ook zo gebeurd. Ik heb de eenhoorn na 11 jaar nog niet tegengekomen.
Plus de ongelofelijke blunder dat je nooit volledige credit card details mag opslaan. Ik heb een tijdje meegewerkt aan het online platform van een vliegmaatschappij (niet deze), en dat was regel 1. Het maakte niet uit dat ik in de database kon, want ik had er domweg niets aan. Daar werd ook op geaudit door een externe partij, en die audit was noodzakelijk voor het kunnen blijven afhandelen van creditcard transacties.

Dat alleen is al nooit te verdedigen.
Niet mee eens. Menselijke fouten komen voor, wachtwoorden lekken uit, dat gebeurd altijd en overal en doe je niets tegen. Maar, als jij persoonlijke en financiële informatie verwerkt, dan hoor je te weten dat je dit soort gegevens nooit plain-text opslaat. Daar zit de fout. Dit valt niet goed te praten. Een zeer terechte boete.

Ik begrijp ook niet hoe dit door audit heen gekomen is.

[Reactie gewijzigd door c-nan op 17 oktober 2020 09:23]

Als je wat meer over de zaak wil weten: Darknet Diaries aflevering 52 gaat er vrij gedetailleerd op in: https://darknetdiaries.com/episode/52/
50 pond per geval is veel te weinig lijkt me, gezien de uitgelekte informatie.
Daar gaan we weer: elke keer als er een boete wordt gegeven struikelen tweakers over elkaar om als eerste te roepen dat het niet genoeg is.
Wat is volgens jou wel een juiste boete en waarop baseer je dat bedrag ("buikgevoel" is geen goede reden).
Er is voor zover bekend snel opgetreden en er is geen fraude bekend vanwege het lek. Niet dat dat ertoe doet, want dit gaat enkel over het datalek, niet over de eventuele fraude die er een gevolg van is.
Korting geven omdat de sector er slecht voorstaat motiveert niet echt om het probleem aan te pakken
nu mag je even uitleggen waarom een boete van 33 miljoen euro niet "motiverend" zou zijn. De dreiging van de boete en de reputatieschade was blijkbaar motiverend genoeg want ze hebben het probleem meteen aangepakt
Als dit een 'volkomen alledaags fenomeen' is zou de boete niet lager, maar juist veel hoger moeten zijn!
er is geen "korting" gegeven omdat het een alledaags fenomeen is. Er is korting gegeven omdat BA, net zoals alle andere luchtvaartmaatschappijen op de rand van het bankroet staat en dergelijke boetes wel eens de druppel zouden kunnen zijn. Nu mag jij erg flink verkondigen dat dat niet erg zou zijn want er was een datalek, maar ik vermoed dat de gemiddelde Brit daar anders over denkt.
Het is altijd handig om even te kijken naar boetes die voor de gewone mens gelden.
  • Sta je met je voorwielen op de stoep omdat er geen parkeerruimte is? € 103 boete.
  • Niet hands-free aan het bellen in een auto met adaptische cruise-control en lane-assist? € 240 boete.
  • Rij je in een elektrische auto zonder uitstoot 130 km/u waar je nu nog maar 100 km/u mag vanwege de stikstof-uitstoot van andermans auto's? €308 boete.
  • Geen mondkapje op? €390 boete.
  • 30 nummers downloaden via torrents? €456.100 boete.
Als jij de creditcardgegevens van een half miljoen mensen op het internet zet, wat zou dan de boete moeten zijn? €15.000?

Het CPB schatte het modaal inkomen in 2018 op € 34.500 per jaar. Deze boete zou dus ruim 40% van een jaarinkomen zijn. British Airways verdiende in 2018 zo'n 2,5 miljard euro. Een boete van 40% zou dan 1 miljard euro zijn.

Het kan ook andersom als je wilt weten of een boete hoog is. Voorbeeld: Apple Inc is 2 biljoen waard. 150 miljard op de bank. Boete van 10 miljoen. Als je alles door 5 miljoen deelt krijg je herkenbaardere getallen: Je hebt een afbetaald huis van 4 ton, 30k op je spaarrekening en je krijgt een boete van twee euro.
En dan nog de gevolgschade van dit lek. Ik was een van de accounts die gelekt was, en ik heb een nieuwe card gekregen met alle ongemakken van dien. Dat is iets waar niet BA maar de CC maatschappij voor opdraait. Plus alle administratieve rompslomp voor de klanten.
Tevens verantwoordelijke mensen strafrechterlijk vervolgen en flinke poos laten brommen.
  • Moeten het laag magement ontslagen worden (die de mensen die de fout hebben gemaakt aansturen)?
  • Moeten het middel magement ontslagen worden (die de mensen die de mensen die de fout hebben gemaakt aansturen)?
  • Moeten het hoger magement ontslagen worden (die mensen die de mensen die de mensen die de fout hebben gemaakt aansturen)?
  • Moeten het top magement ontslagen worden (die mensen die de mensen die de mensen die de fout hebben gemaakt aansturen)?
  • Moet de CEO ontslagen worden (die mensen die de mensen die de mensen die de mensen die de mensen die de mensen die de mensen die de fout hebben gemaakt aansturen)?
  • Moeten de aandeelhouders 'ontslagen' worden omdat ze de CEO geaccepteerd hebben?
zeg het maar en ik vertel je de problemen. Als je toch antwoord geeft, onder wlke wet wil je ze de gevangenis in hebben? Een wet die je zelf bedacht hebt of een wet die werkelijk bestaat?

[Reactie gewijzigd door falconhunter op 16 oktober 2020 20:03]

De CEO van BA ten tijde vh datalek is inmiddels de laan uit en dit event was een van de redenen van het ontslag.
Niet omdat hij persoonlijk een directe fout had gemaakt maar was wel verantwoordelijk voor een cultuur waar dit kon gebeuren.
Maar er waren ook een aantal andere issues waarvoor Alex Cruz veramtwoordelijk wordt gehouden. Bron (oa):
https://www.google.com/ur...Vaw0ujq4kRUh2Ixow-a6DcB65
"Tijdens de gesprekken over de hoogte van de boete, noemde Britisch Airways datalekken met creditcardgegevens tegenover de ICO 'een volkomen alledaags fenomeen'."

Lekkere mindset. Onderhouden ze hun vliegtuigen ook zo?
Ik begrijp dat dit een lekker pakkende tekst is, maar het is uit context. In het complete verhaal heeft hebben de advocaten van BA aangetoond dat dit meer dan honderd keer is voorgekomen en hebben de gevolgen en straffen (waar aplicabel) van al die hacks naast elkaar gezet. De rechters zijn daarin mee gegaan en hebben de strafmaat aangepast maar wat 'de norm' is.

Jij bent het niet eens met die norm. Als je een UK passpoort hebt kan je dat in de volgende verkiezing duidelijk maken. Als je dat niet hebt, heb je er helaas helemaal niets over te zeggen.

---------

BA heeft een zeer goede reputatie in zijn onderhoud van vliegtuigen trouwens. Ze doen het onderhoud van vele andere maatschappijen. Hoewel BA wat pech heeft gehad met een aantal modellen hebben ze een van de beste reputaties op het gebied van ongelukken en storingen.


Om te kunnen reageren moet je ingelogd zijn


Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True