Data van 380.000 passagiers op straat bij BA

De hackers wisten de data te bemachtigen van passagiers die in de maand augustus een vlucht boekten met British Airways via de website of mobiele app. Daarbij is ‘persoonlijke of financiële’ informatie gelekt. Gegevens over paspoorten of de reis zelf zijn echter niet gecompromitteerd, verzekert het bedrijf. Het veiligheidslek zou inmiddels ook gedicht zijn. Alex Cruz, de ceo van de luchtvaartmaatschappij, noemde de hack ‘gesofisticeerd’ en ‘kwaadaardig’.

Volgens experts zou een recente hack bij ticketbedrijf Ticketmaster volgens het zelfde aanvalsrecept gebeurd zijn. ‘Steeds inventievere criminelen vinden nieuwe kwetsbaarheden in bijzonder complexe, verbonden systemen’, zegt Bill Curtis, chief scientist van het beveiligingsbedrijf Cast. ‘Een derde partij heeft waarschijnlijk code aan British Airways geleverd om betalingsautorisaties toe te staan en die kan door de hackers gebruikt zijn om de betalingsdetails in handen te krijgen.’

Luchtvaarmaatschappijen gebruiken vaak heel veel en uiteenlopende systemen om gates te controleren, reserveringen te beheren, tickets uit te schrijven en frequent flyers te volgen. Dat maakt het volgens Curtis lastig om een holistisch overzicht te bewaren van een transactie en om het volledige aanvalspotentieel te zien. Hij raadt aan om software intelligence-technologie te gebruiken die veiligheidslekken van derde partijen kan opsporen. Vaak blijft die immers onder de radar bij interne ontwikkelaars en audits.

Ook securityspecialist Kaspersky heeft aanbevelingen voor BA. ‘Elk bedrijf kan dit helaas overkomen’, zegt Jornt van der Wiel. ‘Daarom adviseren wij British Airways en andere organisaties regelmatig security audits uit te voeren op websitecodes en penetratietesten op de gehele infrastructuur. Bedrijven moeten zorgen voor bescherming van wachtwoorden met behulp van veilige zogeheten hashing & salting algoritmes.’