0
0
A British Airways deve pagar uma multa de proteção de dados de 20 milhões de libras após o hack da Magecart de 2018 – embora o Escritório do Comissário de Informações tenha descoberto que a companhia aérea estava salvando detalhes do cartão de crédito em texto simples desde 2015.
A multa, anunciada esta manhã pelo cão de guarda de dados do Reino Unido, está quase exatamente no nível reduzido de £19,8 milhões que a empresa-mãe da BA, o International Airlines Group, esperava em agosto.
“As falhas são especialmente graves em circunstâncias em que não está claro se ou quando a própria BA teria detectado a brecha”, disse a OIC hoje. Também condenou as alegações da BA durante negociações finas de que as violações de dados de cartão de crédito são “um fenômeno totalmente comum” e “um fato inevitável da vida”.
O porta-voz da companhia aérea disse ao The Register: “Alertamos os clientes assim que tomamos conhecimento do ataque criminoso aos nossos sistemas em 2018 e lamentamos que tenhamos ficado aquém das expectativas de nossos clientes. Estamos satisfeitos que a ICO reconheça que fizemos melhorias consideráveis na segurança de nossos sistemas desde o ataque e que cooperamos plenamente com sua investigação.”
Os sistemas de pagamentos internos da British Airways foram acessados por pessoas mal-intencionadas em junho de 2018, como relatamos na época. Cerca de 380.000 pessoas com detalhes do cartão de crédito e débito foram roubados como resultado.
Alarmantemente, o aviso de multa redigido pela ICO publicado hoje(PDF)revelou não apenas que a companhia aérea foi comprometida através de uma vulnerabilidade citrix, mas que estava salvando detalhes do cartão sem qualquer criptografia – um enorme não- não.
Sem créditos de administração de domínio de texto e MFA simples
Os atacantes começaram comprometendo uma conta de rede BA emitida a um funcionário da empresa de movimentação de cargas Swissport. Esse funcionário, com sede em Trinidad e Tobago, não usou autenticação multifatorial (MFA) e a companhia aérea não exigiu isso. Embora o relatório da ICO tenha sido fortemente redigido neste momento, o invasor então entrou em um ambiente Citrix e foi capaz de escapar dele para a rede BA mais ampla, tendo “copiado com sucesso uma série de ferramentas para o ambiente Citrix de fora da rede”.
Durante a realização do reconhecimento de rede, os invasores acertaram o jackpot: o nome de usuário e a senha de uma conta de administrador de domínio do Windows, “armazenados em texto simples, em uma pasta no servidor”.
Os miscreants também encontraram um nome de usuário e senha de administração de banco de dados mais tarde em sua farra.
Embora seus próximos passos tenham sido redigidos fora do relatório, os atacantes eventualmente tiveram acesso aos registros do servidor que continham detalhes de texto simples dos cartões de pagamento.
A ICO disse: “O registro e armazenamento desses detalhes do cartão (incluindo, na maioria dos casos, números do CVV) não era uma característica de design pretendida dos sistemas da BA… era um recurso de teste que só se destinava a operar quando os sistemas não estavam ao vivo, mas que foi deixado ativado quando os sistemas entraram em operação.” Esses registros foram armazenados por três meses.
A partir daí, os atacantes descobriram o código-fonte do site da BA e plantaram um skimmer de cartão na página de pagamentos usada pelo público em geral. A empresa Infosec RiskIQ avaliou, em 2018, que o hackeamento foi obra da quadrilha de roubo de pagamentos Magecart.
Parte da mitigação da BA incluiu a implantação da ferramenta Falcon da Crowdstrike em seus sistemas.
Multa é de 11% da pena original
A comissária de Informação Elizabeth Denham alegou uma multa de 183 milhões de libras em julho do ano passado,dizendo na época: “Os dados pessoais das pessoas são apenas isso – pessoais. Quando uma organização falha em protegê-la de perdas, danos ou roubos, é mais do que um inconveniente. É por isso que a lei é clara – quando você é encarregado de dados pessoais, você deve cuidar dele. Aqueles que não o fizerem enfrentarão o escrutínio do meu escritório para verificar se tomaram as medidas apropriadas para proteger os direitos fundamentais de privacidade.”
Como os advogados da BA e da IAG fizeram representações para reduzir a multa, a pandemia COVID-19 atingiu – e como a ICO parou de aplicar as leis de proteção de dados no início de 2020, começou a emitir prorrogações de prazos para a BA.
O cão de guarda de dados disse que a multa foi reduzida em 4 milhões de libras para levar em conta a situação financeira do coronavírus da BA, justificando isso apontando para as receitas da IAG superiores a £ 12 bilhões em 2017 – muito antes da pandemia rasgar o coração e os pulmões da indústria de viagens aéreas. O COVID-19 e as proibições governamentais resultantes forçaram a aposentadoria prematura da icônica frota Boeing 747 da BA.
A multa reflete a perda de H1 CY2020 da IAG (PDF) de 1,9 bilhão de euros, e o fato de que o grupo aéreo teve que hipotecar “aeronaves antigas e novas” para levantar outros 2,2 bilhões de euros em dinheiro para acabar com as proibições de viagens do governo ligadas ao COVID-19.
A extensa propriedade de TI da BA, interligada com vários terceiros em todo o mundo, tem a reputação de cair em momentos inconvenientes. Tais problemas não são ajudados quando empreiteiros incompetentes jogam “vamos puxar todas as alavancas” com fontes de alimentação de data center.
FONTE: THE REGISTER