GDPR 失 英国航空 败
作者：Source Defense

想象一下，由于数据泄露而面临 2.38 亿美元的合规罚款，并被告知数据泄露本身并不是罚款的主要原因。这正是英国航空公司在 2018 年数据泄露事件发生后所发生的事情，此次数据泄露事件暴露了近 50 万名客户的个人数据。

英国信息专员办公室 (ICO) 对此次数据泄露事件的调查得出结论，该公司违反了欧洲的《通用数据保护条例》(GDPR)。尽管由于新冠疫情导致的减免因素，罚款最终减少至 2600 万美元，但英国监管机构表示，罚款主要是因为英国航空公司没有实施必要的客户端安全保护措施来防止数据泄露。

攻击

2018 年 6 月 22 日，网络 手机号码数据 犯罪分子窃取了英国航空公司第三方供应商的远程访问网关登录凭证，从而进入了英国航空公司的内部网络。近 6 周的时间里，他们一直未被发现。

攻击者利用服务器上以纯文本形式存储的登录详细信息访问了域管理员帐户。然后，攻击者编辑了英国航空公共网站 (BritishAirways.com) 上的 Javascript 文件，以便将客户支付卡数据重定向到网络犯罪分子控制的域 (BAways.com)。在接下来的 15 天内，每次旅客在英国航空网站上输入支付卡信息时，都会向攻击者发送一份副本。

根据ICO 于 2020 年 10 月 16 日发布的罚款通知，攻击者访问了约 429,612 人的个人数据，具体包括：

BA 客户的姓名、地址、卡号和 CVV 号码 -244,000 个数据主体；

据 ICO 称，“BA 可以采取措施 有效的数据隐私管理对于 来检测恶意行为，例如攻击期间发生的恶意行为，特别是文件完整性监控。这种类型的监控允许系统检测并警告组织对其代码所做的更改。虽然它不能阻止攻击者更改代码，但它允许组织检测到所做的更改并确定这些更改是否未经授权。”

BA 已建立手动变更管理控制，这意味着如果员工想要对 BA 网站进行任何更改，他们必须通过正式的变更管理流程来获得该变更的批准。但是，BA 并没有能够检测其网站代码未经授权更改的安全技术。在这种情况下，BA 只是从第三方收到有关网站代码已发生重大更改的警报。

英国监管机构还指出，英国航空公司未能遵守 PCI 数据安全标准 (DSS)，该标准旨在保护消费者在线支付时的安全。罚款通知明确指出，英国航空公司无法验证关键系统文件、配置文件以及内容文件或脚本的完整性。值得注意的是，最近推出的 PCI DSS 4.0 现在特别关注客户端安全。

解决方案

在 Source Defense，我们近十年 阿根廷數據  来一直在开发技术，以解决 GDPR 和 PCI DSS 引发的担忧。凭借我们在客户端安全方面的专业知识，我们可以提供解决方案来保护商家，并帮助他们以低成本实现合规性，几乎没有运营负担，也不需要大量新的内部工作。我们的解决方案为多个利益相关者带来了双赢。

企业可以通过根据需要添加新合作伙伴来不断增强网站体验。安全能够保护这些合作伙伴引入的第三方代码 – 阻止数据盗窃。治理、风险和合规团队可以完全了解每个合作伙伴的正常行为，并能够实施严格的数据隐私政策 – 无论是在正常状态下，还是在其中一个合作伙伴受到网络犯罪分子攻击的情况下。