英国航空公司被罚款163英镑；2018年数据泄露，GDPR下有1.83亿美元

自称“世界上最受欢迎的航空公司”的英国航空公司（British Airways）去年披露了一个漏洞，泄露了多达38万名客户的个人信息和信用卡号码，持续了两周多。

当时，该公司证实，8月21日至9月5日期间在其官方网站（ba.com）和英国航空公司移动应用程序上预订航班的客户的详细信息被攻击者窃取。

网络攻击后来被认为是臭名昭著的魔车threat actor是最臭名昭著的黑客组织之一，专门从安全性较差的网站，尤其是在线电子商务平台窃取信用卡详细信息。

Magecart黑客以使用数字信用卡浏览器而闻名，他们在一个受损网站的结帐页面中秘密插入几行恶意代码，该网站捕获客户的付款详细信息，然后将其发送到远程服务器。

除了英国航空公司，Magecart集团还对TicketMaster、Newegg等知名公司的网站以及其他小型在线商户的网站上的信用卡违规行为负责。

在今天发布的一份声明中，ICO表示，其广泛调查发现，与英国航空公司客户有关的各种信息因该公司“糟糕的安全安排”而遭到泄露，包括客户的姓名和地址、登录、支付卡数据以及旅行预订细节。

信息专员伊丽莎白·德纳姆（Elizabeth Denham）说：“人们的个人数据只是个人数据。当一个组织未能保护其免受丢失、损坏或盗窃时，这不仅仅是一种不便。”。

“这就是为什么法律是明确的–；当你被委托处理个人数据时，你必须照顾它。那些不这样做的人将面临我办公室的审查，以检查他们是否采取了适当的措施来保护基本的隐私权。”

然而，ICO还表示，自去年数据泄露事件曝光以来，英国航空公司一直配合其调查，并对安全安排进行了改进。

由于数据泄露事件发生在2018年5月欧盟《通用数据保护条例》（GDPR）生效后，因此罚款£；英国航空公司已被征收18339万英镑，相当于该公司2017财年全球营业额的1.5%，但仍低于可能的最高4%。

国际航空集团（IAG）旗下的英国航空公司（British Airways）在回应ICO的声明时表示，该公司对ICO的处罚“感到惊讶和失望”。

英国航空公司董事长兼首席执行官亚历克斯·克鲁兹（Alex Cruz）说：“英国航空公司对窃取客户数据的犯罪行为做出了迅速反应。”。

“我们没有发现与盗窃有关的账户存在欺诈/欺诈活动的证据。对于此次事件给我们的客户带来的不便，我们深表歉意。”

该公司有28天时间对罚款提出上诉。

到目前为止，英国数据保护监督机构最严重的惩罚是£；去年，Facebook因允许政治咨询公司Cambridge Analytica不正当地收集和滥用8700万用户的数据而被处以50万英镑的罚款。

同样的处罚为£；去年，信用报告机构Equifax因其2017年的大规模数据泄露而被处以50万英镑的罚款，该数据泄露了数亿客户的个人和财务信息。

由于Facebook和Equifax上的事件都发生在GDPR生效之前；50万英镑是ICO根据英国旧的《数据保护法》可以施加的最高罚款。