חברת התעופה האירופאית British Airways נקנסת עקב גנבת מידע רגיש על לקוחותיה

תקנות ההגנה על מידע פרטי באירופה (GDPR), שנכנסו לתוקף ב-2018 נותנות, את אותותיהן. בעלי חברת התעופה בריטיש איירווייס (British Airways), נקנסו בסכום עצום של 183 מיליון ליש"ט (כ-230 מיליון דולר) בגין גניבת מידע של 500 אלף לקוחות מאתר בריטיש ואפליקציית המובייל של החברה אשתקד.

הקנס שהוטל על החברה מעיד על כך שהרשות רואה את חברת התעופה כאחראית לדליפת המידע של לקוחותיה בכך שלא מנעה את חולשת אבטחת המידע בחברה. לא מדובר על התקפה רגילה. "ההתקפה על בריטיש איירווייז מייצגת סוג חדש של התקפות מתוחכמות שבמסגרתן משתנה קוד השרת בדפדפן או באפליקציית מובייל (front-end code)".

עידו ספרותי. קרדיט: יח"צ

מסביר יזם ומנהל טכנולוגי ראשי של חברת הסייבר PerimeterX, עידו ספרותי, "מדובר בהתקפה שכיום רוב החברות והאתרים עיוורים אליה לגמרי, בהן התוקף משנה את הקוד הקיים כך שהוא יתוכנת לבצע פעילות זדונית כלשהי בנוסף למשימה אותה נועד לבצע במקור".

הוא מוסיף ואומר: "מאחר שהקוד רץ בצד הלקוח, ושולח את המידע שהוא אוסף לצד שלישי – כל הפעילות נסתרת מעינו של האתר המקורי, וכך היינו עדים למתקפות כמו זו שבגינה נקנסת עכשיו British Airways, או מתקפה כמו זו שגנבה מידע אישי וכרטיסי אשראי מלקוחות Ticketmaster, בהן הקוד הנגוע היה פעיל באתר לתקופה ארוכה בת מספר חודשים, ולא התגלה".

הקנס הגבוה מהווה קנס תקדימי בהיקפו, ומאותת לבעלי אתרים ושירותי אונליין שגם אם המידע שדולף בעצם נגנב מהלקוחות ישירות, מבלי שדלף ממאגרי המידע של החברה, החברה נושאת באחריות שכן המידע נגנב לאור רשלנות מצד האתר בכך שלא איתר שקוד שהוא מגיש ללקוחותיו השתנה.

על מנת להתמודד עם מתקפות דומות, PerimeterX השיקה לאחרונה את PX Code Defender, טכנולוגיה המזהה התקפות שמכוונות לשינוי בקוד קיים דרך תקיפת ספקים (supply chain attack) ותקיפה של רכיבי קוד פתוח.

ספרותי: "האחריות היא בידיים של החברות והאתרים. כל חברה, ובמיוחד חברה שפועלת באירופה חייבת להעלות לראש סדר העדיפויות שלה בחינה של השליטה ויכולת הזיהוי לשינויים בקוד ה-front-end שלה, ובמיוחד לרכיבי צד שלישי וספריות קוד פתוח בהן החברה משתמשת על מנת להרחיב את פונקציונאליות האתר. אנחנו רואים בשבועות האחרונים, ובמיוחד לאחר פרסום הקנס עניין גובר מצד חברות בפתרונות לבעיה, כשרבים מציינים דחיפות במתן פיתרון שנדרשת מהנהלת החברה".

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.