A seguito di un importante incidente di sicurezza che aveva causato la violazione di delicati dati personali di oltre 400.000 individui (passeggeri), l’Information Commissioner inglese (“ICO”)  l’08/07/2019 aveva comunicato alla compagnia aerea l’intenzione di sanzionarla per la significativa cifra di 183,39 milioni di sterline (€204M) per violazioni dell’art. 32 GDPR.

A seguito del meccanismo di cooperazione con le altre autorità interessate, l’ICO in qualità di autorità capofila ha ora irrogato la sanzione finale nella misura inferiore del 90% rispetto a quella indicata originariamente, pari a £25 milioni (€22 milioni).

I FATTI

La sanzione si riferisce a un incidente informatico notificato all’ICO da British Airways nel settembre 2018. Questo incidente, che si ritiene sia iniziato nel giugno 2018, in parte ha comportato il dirottamento del traffico dati di oltre 400.000 utenti dal sito web di British Airways (“BA”) su un sito fraudolento realizzato da hacker. L’indagine dell’ICO ha rilevato che una varietà di informazioni, relative tra l’altro a accessi, gestione carte di pagamento, dettagli sulla prenotazione del viaggio e anagrafiche, è stata compromessa a causa di misure di sicurezza aziendali inadeguate.

TEMPI

L’incidente, che è consistito nell’accesso abusivo di terzi malintenzionati alla rete informatica interna di BA e nell’esfiltrazione di dati altamente personali (dati di possessori di carte di credito) verso un sito web fraudolento controllato dagli hacker, è durato per un arco temporale di oltre due mesi, dal 22 giugno al 5 settembre 2018, data in cui BA ha acquisito consapevolezza dell’attacco.

VIOLAZIONE

Secondo l’ICO, BA è incorsa nella violazione della mancata adozione di adeguate misure tecniche e organizzative volte ad assicurare una protezione adeguata dei dati contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danneggiamento accidentale, come richiesto dall’articolo 5, paragrafo 1, lettera f) e dall’articolo 32 del GDPR.

MODALITÀ DELL’ATTACCO

I dettagli delle circostanze di fatto offrono interessanti spunti di riflessione e precedenti da tenere in debita considerazione per ridurre il rischio della realizzazione di una violazione di dati personali e per gestire in modo ottimale un’eventuale data breach.

L’attacco è avvenuto da remoto sfruttando un tool della compagnia (CAG) che permette l’accesso da remoto alla rete e alle applicazioni.

  1. Accesso tramite credenziali compromesse

L’attacco è iniziato con l’attaccante che ha ottenuto l’accesso alle credenziali di accesso che BA aveva fornito a un dipendente di un fornitore terzo di servizi (cosiddetto “supply chain attack”). BA non è riuscita a individuare come sia stato possibile acquisire le credenziali di accesso compromesse dell’account del dipendente del fornitore terzo; l’account compromesso, tuttavia, pur potendo accedere da remoto (quindi rappresentando un elemento di vulnerabilità) non era protetto dall’uso dell’autenticazione a più fattori (“MFA” cioè un sistema che limita l’accesso a coloro che possono completare una combinazione di due o più passaggi).

  1. Accesso a profili con privilegio

A seguito di successive operazioni, l’attaccante è stato in grado di accedere ad un file contenente le credenziali (username e password) degli account di amministratori di sistema. Le credenziali di accesso erano state memorizzate in chiaro, in una cartella sul server. In teoria, qualsiasi utente all’interno del dominio in questione avrebbe potuto accedere al file e ottenere il nome utente e la password dell’amministratore del dominio. L’accesso a tali credenziali di amministratore di sistema ha fornito all’attaccante un accesso praticamente illimitato al dominio compromesso.

  1. Accesso ai dati di carte di credito

Dopo un paio di tentativi andati a vuoto, successivamente, l’attaccante è stato in grado di accedere ai file log, in chiaro, contenenti tra l’altro i dati anagrafici e i dettagli della carta di pagamento per le transazioni di rimborso di BA di 244 mila individui, i numeri di carta di credito e CVV di 77 mila soggetti ed il solo numero delle carte di credito di 108 mila persone.

  1. Dati non necessari

La registrazione e l’archiviazione dei dettagli della carta (inclusi, nella maggior parte dei casi, i numeri CVV) sembra che non fosse richiesta per alcun particolare scopo aziendale: era una funzione di test che avrebbe dovuto funzionare solo quando i sistemi non erano attivi, ma che poi è stata lasciata attivata quando i sistemi sono ritornati attivi.

  1. Assenza di cifratura

Secondo BA i dati di queste carte di credito venivano archiviati in chiaro (anziché in forma crittografata) a causa di un errore umano, per cui i dettagli di circa 108.000 carte di pagamento sono state potenzialmente disponibili all’attaccante per tutto il periodo in cui il data breach non è stato scoperto (oltre due mesi).

  1. Reindirizzamento dati su sito dell’attaccante

In conclusione, l’attaccante ha trasferito i dati delle carte di pagamento dei passeggeri su un diverso sito web da lui controllato, facendo in modo che durante questo periodo, quando i clienti inserivano i dati della carta di pagamento nel sito web di BA, una copia degli stessi dati veniva inviata all’attaccante, senza interrompere la normale procedura di prenotazione e pagamento di BA. Il 5 settembre 2018, solo grazie alla comunicazione di una terza parte della circostanza che i dati risultavano trasferiti dal sito di BA ad un sito ignoto, l’incidente viene finalmente scoperto.