Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

British Airways sloeg beheerderswachtwoord en creditcarddata in platte tekst op

British Airways heeft een boete van 20 miljoen pond opgelegd gekregen van de Britse toezichthouder ICO, omdat de luchtvaartmaatschappij zijn beveiliging niet goed op orde had. Onder andere sloeg het bedrijf gevoelige gegevens onversleuteld op.

De Information Commissioner’s Office kwam tot de boete van omgerekend 33 miljoen euro na onderzoek naar een grootschalig datalek in 2018, waarbij persoonsgegevens van 380.000 personen gestolen werden, waaronder creditcardgegevens inclusief ccv-nummers. De privacyautoriteit beschrijft het verloop van de hack van de betaalsystemen en somt op waar het mis ging met de beveiliging.

De aanvallers wisten toegang te krijgen tot de netwerken van British Airways met behulp van accountgegevens van een medewerker van Swissport. Van daaruit wisten de aanvallers tools binnen de Citrix-omgeving te krijgen, waarmee ze het netwerk konden doorlichten. Zo kwamen ze achter een inlognaam en wachtwoord van een beheerdersaccount die in platte tekst waren opgeslagen en die volgens de ICO vrijwel ongelimiteerde toegang tot het domein gaven.

Zo wisten de aanvallers in te loggen op meerdere servers en konden ze op 26 juli 2018 toegang verkrijgen tot logbestanden met, opnieuw in platte tekst, opgeslagen creditcardgegevens, inclusief ccv-nummers. Dankzij een testfunctie die door een menselijke fout live stond, waren de creditcardgegevens sinds december 2015 zo onversleuteld gelogd. De retentieperiode was beperkt tot 95 dagen, wat de schade enigszins beperkte, maar alsnog waren van 108.000 kaarten de gegevens zo inzichtelijk.

De boete is veel lager dan het bedrag van 183 miljoen pond waar de ICO vorig jaar mee dreigde, onder andere omdat de luchtvaartsector in financiele moeilijkheden verkeert door de coronapandemie. Tijdens de gesprekken over de hoogte van de boete, noemde British Airways datalekken met creditcardgegevens tegenover de ICO 'een volkomen alledaags fenomeen'.

Door Olaf van Miltenburg

Nieuwscoördinator

16-10-2020 • 16:57

91 Linkedin

Reacties (91)

Wijzig sortering
Bij bedrijven die tooling leveren voor of zelf een (Q)TSP zijn gaan een stuk verder dan dit. Diegene die een certificaten voor bijvoorbeeld een van de PKI-O domeinen beheren kun je als voorbeeld dichter bij huis nemen. Namen mag men zelf opzoeken.

Voor "normale" bedrijven zal de adoptie jammer genoeg wat minder zijn vrees ik.
Hint: Veel bedrijven die dit niveau of hoger hanteren blazen dat niet hoog van de toren noch mag je er 'even een kijkje komen nemen' (dus tenzij er een goede reden is kom je het helaas ook niet 'tegen'. Maar op zijn minst in de buurt komen van hoort toch wel een streven te zijn.

Maar hoe dan ook, plaintext cc gegevens opslaan en godmode admins binnen een miljardenconern?

[Reactie gewijzigd door TWeaKLeGeND op 19 oktober 2020 06:00]

Voor Darknet Diaries hoef je géén enorme cybersec-nerd te zijn. Het is voor iedereen met een beetje interesse in tech echt een enorme aanrader.

Ik begon ooit met ep. 45 en 46 (Xbox Underground) toen ik die afleveringen tegenkwam op Reddit. Ben toen van voor af aan begonnen.
  • Niet hands-free aan het bellen in een auto met adaptische cruise-control en lane-assist? € 240 boete.
  • Rij je in een elektrische auto zonder uitstoot 130 km/u waar je nu nog maar 100 km/u mag vanwege de stikstof-uitstoot van andermans auto's? €308 boete.
Bah bah, mensen die denken dat ze boven de wet (en dus andere burgers) staan omdat ze een luxe of elektrische auto kunnen betalen. :X
Is het niet veelal dat er tegenwoordig zo veel 'niet' programmeurs overal vandaan gehaald zijn? Van accountants tot zebraverzorgers. Mensen met een moreel maar ook talentvolle jeugd zonder en dat allemaal zonder ervaring.. Er zijn te weinig programmeurs..

Ik zie het net als Muzikanten/Djs. Vroeger was dat een vak. Nu is er techniek. Heb je de top 40 al eens gehoord?
Ik denk dat altijd echt aan het management ligt.

[Reactie gewijzigd door Core2016 op 18 oktober 2020 00:30]

Dat is terecht, het management is verantwoordelijk; als de admin zegt hier hebben we het Pen test rapport van onze serverfarm we hebben 1 high, 1 critical en 12 low findings, dan zegt management de low findings hoeven niet in deze sprint.(Als er überhaupt een proces voor is ingericht)
Terwijl de aaneenschakeling van die low findings wel eens een breach als gevolg van zouden kunnen zijn.
Nou heb ik een hoge pet op van deze admin dus ik denk dat dit voorbeeld niet helemaal juist is.
Want keihard straffen is dé manier om mensen te corrigeren. Als we dan toch bezig zijn nog even lijfstraffen doorvoeren.

'Boete had veel hoger moeten zijn ondanks de crisis.'
Want nergens leert een bedrijf beter van dan een faillissement.

Uiteindelijk betaald de consument, dus een boete die relatief is aan de staat van de (wereld) economie lijkt me hier ontzettend om zijn plaats.
Wie specifiek de gevangenis in gaat maakt me eigenlijk niet uit. Als er maar iemand de gevangenis in gaat want dat maakt uit, zoals je zelf mooi schetst (dank daarvoor).
Contracten opzeggen zal niet zo snel gebeuren, het is immers ook cashflow voor hen.
De boete daarvoor zou alleen al het te betalen bedrag moeten zijn. Voor het opslaan in platte tekst nog eens hetzelfde en voor de opmerking zou het management eigenlijk gewoon zweepslagen moet krijgen.

'een volkomen alledaags fenomeen' Die woordvoerder heeft helaas gelijk. Dat kun je zien aan het aantal ransomware besmettingen die betaald worden. Ik denk dat ze hun les hebben geleerd want ze zijn nog niet te grazen genomen door een ransomware gang. (als ik het goed heb)
Lekkere mindset.
Ik zou het ook niet zeggen (zeker niet op het moment dat ik zelf op het strafbankje zit), want het klinkt alsof je willens en wetens nalatig bent geweest, maar in alle eerlijkheid: ze hebben wel degelijk gelijk.
Onderhouden ze hun vliegtuigen ook zo?
Compleet zinloze opmerking; neerstortende vliegtuigen zijn op geen enkele manier "een volkomen alledaags fenomeen". Als er ergens op de wereld een passagiersvliegtuig neerstort dan is dat automatisch wereldwijd dagenlang voorpagina nieuws. Dat hoef je echt niet te proberen met aanrijdingen met auto's, moorden en vrijwel elke andere doodsoorzaak. Vliegtuigen in het algemeen zijn extreem veilig en ik ben niet op de hoogte van enige reden om te denken dat BA daar de kantjes eraf loopt.
Dat lijken me grotendeels terechte punten.

Ik heb overigens ook weleens afgezien van bestellingen die twee keer zo duur uitpakten vanwege de invoerrechten. :'(

Ik ben het helemaal met je eens dat webshops, marketeers, analytics fanboys & girls, etc niet snel af zullen zien van hun honger naar data, waardoor we dat inderdaad bij wet zullen moeten afdwingen. Dat lijkt me dan ook slechts een kwestie van tijd, maar misschien ben ik in dit opzicht wel erg optimistisch.

Het voorbeeld van deze "third party" service laag komt vooral voort uit mijn overtuiging dat het belangrijk om ook vanuit onze "rol" als consument (of afnemer van een dienst) stil te staan bij de vraag wie welke gegevens van ons wil hebben en waarom. Ik blijf dan ook wel bij mijn standpunt dat het hoge aantal bedrijven en overige instanties dat data over ons opslaat op zichzelf een risico vormt wat het beveiligen van onze gegevens betreft.
Neen, ik heb iDeal, en een nederlandse bankrekening. Met een adres in het buitenland. Van die gegevens kan je niet afleiden dat ik een vrijstelling van belasting heb.

Als ik in Nederland ben heb ik ook tijdelijk een NL telefoonnummer. Maar ik ben wel degelijk van buiten de EU.


Om te kunnen reageren moet je ingelogd zijn


Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True