O Escritório do Comissário de Informação do Reino Unido (ICO na sigla em inglês) declarou que vai multar a British Airways em 183 milhões de libras (cerca de R$ 860 milhões) pelo vazamento de dados no ano passado. Para colocar as coisas em perspectiva, é cem vezes maior do que a multa recebida pelo Facebook da UE no caso da Cambridge Analytica. Nesta publicação, contamos o que aconteceu, por que há tanta diferença monetárias entre os dois casos e os motivos pelos quais é importante considerar a proteção de dados em primeira instância.
Vazamento de dados da British Airways— o que deu errado?
No ano passado, a British Airways declarou que, de 21 de agosto a 5 de setembro, cibercriminosos obtiveram acesso aos dados dos usuários que compraram ou modificaram suas passagens no site ou no aplicativo móvel da empresa. Os invasores roubaram as informações de aproximadamente 500 mil clientes, que incluíam todas as informações que as vítimas haviam inserido nos formulários online: nomes de usuário e senhas, nomes e endereços, informações do cartão bancário, incluindo códigos CVC, entre outras coisas.
Após a investigação, concluiu-se que a British Airways havia sido atacada pelo grupo de cibercriminosos Magecart, conhecido por introduzir scripts maliciosos em sites de comércio eletrônico para roubar dados financeiros. E o ataque à British Airways não foi exceção; os atacantes infectaram o site da empresa. Os usuários do aplicativo móvel também tornaram-se vítimas porque o aplicativo carregou algumas funcionalidades diretamente do site.
A multa do GDPR
Embora a British Airways tenha informado o incidente a tempo e ajudado na investigação, a empresa também terá que enfrentar uma multa. De acordo com as disposições do GDPR (Regulamento Geral de Proteção de Dados), as empresas que processam dados pessoais de cidadãos europeus devem assegurar a segurança das informações; a investigação descobriu que a segurança do site da empresa era insuficiente. Naturalmente, após o incidente, a companhia aérea aplicou novas medidas protetivas, mas isso não diminui sua responsabilidade.
O Facebook, que vazou dados de cerca de 87 milhões de usuários, só encarou uma multa de 500 mil libras esterlinas na Europa. De acordo com os requisitos da Lei de Proteção de Dados de 1998 (precursora do GDPR), essa era a multa máxima permitida.
Implementação de medidas de segurança é mais barata do que uma possível multa
A possível multa que a BA poderá pagar pelo vazamento de dados no ano passado não foi totalmente definida. A OIC considerará solicitações de outras autoridades europeias de proteção de dados e da British Airways. No entanto, a quantidade é indicativa. Implementar as medidas de segurança apropriadas e evitar esses incidentes é muito mais barato. Se você processar informações pessoais de usuários europeus, especialmente informações bancárias, recomendamos que você aja imediatamente e não postergue a implementação de métodos de segurança confiáveis.
Uma defesa preventiva é especialmente importante para e-commerce e serviços bancários online, assim, precisando prestar atenção especial na proteção dos sites dos golpes de scripts espalhados na rede. Nossa plataforma Kaspersky Fraud Prevention inclui uma solução chamada Automated Fraud Analysis, que permite verificar tudo o que acontece em uma página da Web durante a sessão de um usuário. Você pode identificar várias ameaças online, incluindo scripts maliciosos. Para obter mais informações sobre essa solução, visite a seção Prevenção contra fraudes de nosso site corporativo.