Brytyjski przewoźnik lotniczy (EasyJet) poinformował, że doszło do ogromnego wycieku danych osobowych. Sprawa jest bardzo poważna. W wyniku cyberataku w niepowołane ręce mogły trafić dane osobowe aż 9 milionów klientów spółki. Wyciek może dotknąć także polskich obywateli. EasyJet jest piątą w Polsce największą linią lotniczą pod względem przewiezionych pasażerów (w zeszłym roku ponad milion pasażerów).
Sprawę bada już Krajowe Centrum Bezpieczeństwa Cybernetycznego (National Cyber Security Centre) oraz brytyjski organ właściwy ds. ochrony danych osobowych (The Information Commissioner’s Office – ICO). Przewoźnik może zatem obawiać się przykrych konsekwencji finansowych związanych z tym zdarzeniem.
Wyrafinowany cyberatak
Przewoźnik poinformował, że w efekcie cyberataku doszło do wycieku danych osobowych:adresów e-mail oraz szczegółowych informacji dotyczących podróży pasażerów. Dodatkowo, w przypadku 2200 z nich, hakerzy uzyskali dostęp również do danych z kart kredytowych. Spółka zapewniła, że w wyniku tego zdarzenia nie zostały ujawnione jakiekolwiek dane paszportowe.
EasyJet nie poinformował w jaki sposób doszło do wycieku, ani kiedy dokładnie on nastąpił. Podkreślił on jedynie, że cyberatak na systemy spółki był wyjątkowo wyrafinowany. Przewoźnik zapewnia, że aktualnie wyciek został powstrzymany oraz, że współpracuje on z organem nadzorczym w tym zakresie (ICO).
Działania zaradcze
Przewoźnik zapewnił, że nie posiada informacji, aby jakiekolwiek dane osobowe wykradzione w wyniku cyberataku zostały wykorzystane przez osoby trzecie, np. w celach przestępczych. Niezależnie od tego ICO zarekomendowało brytyjskiej spółce, aby skontaktowała się ona ze wszystkimi osobami, których dotyczy wyciek. W ocenie ICO, zdarzenie to spowodowało bowiem zwiększone ryzyko wystąpienia oszustw związanych z pshishingiem (podszywania się przez oszusta pod inną osobę w celu wyłudzenia określonych, nieraz bardzo cennych informacji).
EasyJet aktualnie informuje pasażerów, których dane osobowe wyciekły wskutek cyberataku. Jednocześnie radzi tym osobom, aby zachowały szczególną czujność, w szczególności gdy otrzymają podejrzaną korespondencję. Spółka kontaktuje się w pierwszej kolejności z klientami, którzy są najbardziej narażeni w związku z kradzieżą danych z ich kart kredytowych. Zgodnie z zapewnieniami EasyJet, do 26 maja br. wszyscy pasażerowie dotknięci tym zdarzeniem otrzymają od przewoźnika stosowną korespondencję w tej sprawie.
Wizja surowej kary
Naruszenie ochrony danych osobowych przez EasyJet jest dotychczas jednym z największych tego typu zdarzeń w Wielkiej Brytanii. Warto przypomnieć, że w lipcu 2019 r. ICO ukarał British Airways karą finansową w wysokości 183 mln funtów (organ odroczył wykonanie kary ze względu na pandemię koronawirusa) po tym, jak hakerzy wykradli dane osobowe pół miliona klientów (pisaliśmy o tym tutaj https://gdpr.pl/aktualnosci/brytyjski-organ-zamierza-nalozyc-ponad-850-milionow-zlotych-kary-na-british-airways). W tym samym miesiącu na grupę hoteli Marriott została nałożona kara w wysokości 99,2 mln funtów za naruszenie, w wyniku którego ujawnione zostały dane osobowe 339 milionów klientów giganta na całym świecie (pisaliśmy o tym tutaj https://gdpr.pl/brytyjski-organ-zamierza-nalozyc-pol-miliarda-zlotych-kary-na-marriott-international i tutaj https://gdpr.pl/ponowny-wyciek-danych-u-hotelowego-giganta). Podobnie jak w przypadku kary British Airways, ICO odroczył wykonanie kary ze względu na panującą pandemię. W obu przypadków przyjdzie nam poczekać do końca 2020 r.
EasyJet grozi wysoka kara finansowa. Zgodnie z RODO, organ może nałożyć karę w wysokości do 20 000 000 euro – a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Z uwagi na skalę naruszenia, jego charakter oraz dotychczasową praktykę ICO w przypadku podobnych naruszeń, możemy spodziewać się kary z górnej granicy.
Źródło:
https://www.theguardian.com/business/2020/may/19/easyjet-cyber-attack-customers-details-credit-card
Polecamy także:
Poważne naruszenie u narodowego przewoźnika