British Airways enquête sur le vol de données client depuis son site Web, ba.com et l’application mobile de la compagnie aérienne. Les données volées n’incluaient pas les détails du voyage ou du passeport. C’est ce qu’indique un communiqué laconique de la compagnie aérienne.
De 22h58 heure de Paris, du 21 août 2018 à 21h45 heure de Paris, le 5 septembre 2018 inclus, les données personnelles et financières des clients effectuant des réservations sur ba.com et l’application de la compagnie aérienne ont été compromises. Il s’agit de près de 400 000 données liées à des cartes de crédit.

British Airways communique avec les clients concernés et conseille à tous les clients qui pensent avoir été affectés par cet incident de contacter leurs banques ou leurs fournisseurs de cartes de crédit et de suivre les conseils recommandés.
« Nous sommes profondément désolés pour les perturbations que cette activité criminelle a provoquées. Nous prenons très au sérieux la protection des données de nos clients », a déclaré Alex Cruz, président et directeur général de British Airways.

« Généralement, les fuites de données importantes sont causées par des personnes malveillantes en interne ou des parties externes malveillantes ayant réussi à compromettre quelqu’un à l’intérieur, commente Jan van Vliet, Vice-Président et Directeur General EMEA de Digital Guardian. Dans les deux cas, la fuite peut également provenir d’un fournisseur tiers. Il est donc important que les entreprises concentrent leurs programmes de protection des données non seulement sur leur propre infrastructure, mais aussi sur les fournisseurs tiers. Cette affaire rappelle à toutes les organisations qu’elles doivent avoir une parfaite maitrise des actifs critiques (en l’occurrence, les numéros de cartes de crédit) et de la façon dont ces informations sont utilisées dans tous les départements de l’entreprise. Une façon d’y parvenir est de mettre en place une politique de protection des données cohérente entre toutes les parties qui sont en contact avec ces actifs critiques. Cela inclut la vérification de l’ensemble des tiers pour s’assurer qu’ils ont des niveaux de protection équivalents. »