De reiswereld moet de druk door recente hacks waaronder Britische Airways, Air Canada en Thomas Cook ondertussen toch wel voelen. De afgelopen drie maanden werd elke maand wel door de in mei ingevoerde GDPR wetgeving, gedwongen met de billen bloot te gaan en met het schaamrood op de kaken bekend te geven dat ze gehackt waren.
British Airways dacht een prachtige campagne te lanceren met daarbij ludieke sales.
Giovanni Verhaeghe, Vice President Corporate Development and Hardware Operations bij OneSpan
Deze mondde echter uit in een regelrechte PR-nachtmerrie. Wat ze niet hadden voorzien was dat deze actie blijkbaar vooral de aandacht van hackers had getrokken. Na het stelen van de persoonlijke en financiële gegevens van honderdduizenden klanten moest British Airways aankondigen dat er een ‘urgent’ onderzoek werd ingesteld en dat ze de politie van deze hack op de hoogte hadden gebracht. Volgens de in mei geïntroduceerde nieuwe GDPR-regels zijn bedrijven verplicht om binnen 72 uur een datalek te melden of straffe van fixe boetes.
De luchtvaartlijn liet weten dat de hack ergens tussen 21 augustus en 5 september had plaats gevonden, waarbij maar liefst 380.000 betalingen gecompromitteerd werden. Als je dan nog van geluk bij een ongeluk mag spreken, bevatte de gestolen informatie geen andere gegevens zoals bijvoorbeeld paspoortgegevens. Klanten die via de website of de British Airways app geboekt hadden, werden geadviseerd om direct contact op te nemen met hun bank en/of credit-card leverancier.
Geliefd
De reiswereld is momenteel zeer geliefd bij hackers. Air Canada had twee weken geleden PR technisch duidelijk last van een aanval waarbij ‘slechts’ 20.000 gegevens van klanten werden buit gemaakt. Toch zijn British Airways en Air Canada geen op zich staande incidenten . Ook Thomas Cook werd in juli dit jaar opgeschrikt door een hack. De schade was hier nog beperkt tot de namen van minder dan 100 boekingen.
“Nu de hack van reisgegevens van British Airways-passagiers openbaar worden, is dit een zoveelste herinnering aan de realiteit waarin we vandaag de dag leven. Het is geen kwestie van ‘als we worden gehackt’, het is een kwestie van ‘wanneer we zullen worden gehackt’. Bij British Airways is men begonnen met het waarschuwen van de getroffen klanten, terwijl men probeert de schade aan de naamsbekendheid van het merk tot een minimum te beperken. Maar terwijl British Airways de negatieve publieke en potentiële GDPR sancties voor haar rekening neemt, zijn de echte slachtoffers in dit scenario de klanten van British Airways. Zodra fraudeurs hun persoonlijke gegevens (dat wil zeggen: naam, e‑mailadres en creditcardgegevens) hebben, zullen ze toegang hebben tot hun persoonlijke bankrekening(en). Ze kunnen hierbij nieuwe rekeningen op hun naam openen of hun persoonlijke gegevens gebruiken om frauduleuze aankopen te doen. Deze schade is op korte termijn. Mensen kunnen ook in slaap gesust worden omdat er nu niets gebeurt. Hun persoonlijke gegevens kunnen echter ook aan andere fraudeurs op het “deep” web verkocht worden. Dat betekent dat ze ook in de toekomt hier nog schade van kunnen ondervinden”, alsdus Giovanni Verhaeghe, Vice President Corporate Development and Hardware Operations for OneSpan.
Lessons learned
De belangrijkste lessen die we uit deze an British Airlines zijn drieledig:
- hacks blijven fraude, accountovername en toepassingsfraude aanwakkeren
- In combinatie met een slechte “wachtwoordhygiëne” zal de fraude blijven toenemen en als laatste
- geen wachtwoord is veilig; elk wachtwoord is kwetsbaar
