หน่วยงานกำกับด้านข้อมูลอังกฤษสั่งปรับ British Airways ภายใต้ GDPR กรณีการโจมตีจากกลุ่ม Magecart และปัญหาด้านความปลอดภัย
หน่วยงาน Information Commissioner (ICO) ออกประกาศเมื่อวันที่ 16 ตุลาคม 2563 ว่าจะมีการปรับค่าเสียหายจากสายการบิน British Airways จำนวนกว่า 20 ล้านปอนด์หรือประมาณ 800 ล้านบาท ภายใต้การบังคับใช้ของ GDPR จากกรณีการโจมตีโดยกลุ่ม Magecart ซึ่งส่งผลให้ข้อมูลของลูกค้าสายการบินกว่า 500,000 รายการรั่วไหล
ในเดือนกันยายน 2018 สายการบิน British Airways มีการรายงานต่อ ICO หลังจากมีการตรวจพบการโจมตี การวิเคราะห์การโจมตีบ่งชี้ว่าผู้โจมตีมีการเข้าถึงระบบภายในของสายการบินจนสามารถแก้ไขหน้าเว็บเพจหลักของ British Airways ได้ ด้วยสิทธิ์ดังกล่าว ผู้โจมตีมีการฝังโค้ดเพื่อลักลอบดึงข้อมูลทีผู้ใช้งานกรอกที่หน้าเว็บและส่งมายังระบบของผู้โจมตีตามลักษณะการโจมตีของกลุ่ม Magecart การวิเคราะห์การโจมตียังบ่งชี้ว่า British Airways มีความปลอดภัยที่หละหลวม ไม่มีการบังคับใช้ multi-factor authentication และยังมีการบันทึกรหัสผ่านของบัญชี domain administrator เอาไว้ในไฟล์แบบ plaintext อีกด้วย
จำนวนค่าปรับกว่า 20 ล้านปอนด์นั้นถูกลดมาจาก 183 ล้านปอนด์ตามที่ ICO เคยมีการแจ้งแก่ British Airways ครั้งแรกเมื่อเดือนกรกฎาคม 2019 ทาง ICO มีการอธิบายเพิ่มเติมที่การลดลงของค่าปรับซึ่งหนึ่งในเหตุผลนั้นคือการประเมินจากผลกระทบที่มีต่อสายการบินในกรณีของ COVID-19 ด้วย
ที่มา: theregister