BA: Datenleak bei BA

[no_way_codeshares]

ANZEIGE

Ich habe insgesamt 2 Mails bekommen (hatte ebenfalls eine online getätigte Prämienbuchung im o. g. Zeitraum getätigt):

"Theft of customer data" am 6. September
"Criminal Theft of Customer Data, more information" am 7. September

Zur Klarheit hier der Inhalt beider Mails, bei mir beide vom 7.9.:

Dear Customer,


From 22:58 BST 21 August 2018 until 21:45 BST 5 September 2018 inclusive, the personal and financial details of customers making or changing bookings at ba.com, and on our app were compromised. The stolen data did not include travel or passport information.

The breach has been resolved and our website is working normally.

We’re deeply sorry, but you may have been affected. We recommend that you contact your bank or credit card provider and follow their recommended advice.

We take the protection of your personal information very seriously. Please accept our deepest apologies for the worry and inconvenience that this criminal activity has caused.

Further information can be found at ba.com.

Yours sincerely,

Dear Customer,


Following our email notifying you about our recent criminal data theft, we wanted to provide you with more information.

As you may be aware, from 22:58 BST 21 August 2018 until 21:45 BST 5 September 2018 inclusive, the personal and financial details of customers making or changing bookings at ba.com, and on our app were compromised. We’re truly sorry, but you may have been affected.

The personal information compromised includes full name, billing address, email address and payment card information. This includes your card number, expiry date and CVV. Unfortunately this information could be used to conduct fraudulent transactions using your account. We recommend that you contact your bank or credit card provider immediately and follow their advice.

British Airways has taken steps to prevent any further data theft, the website is working normally, and we are working with the authorities to investigate how this theft occurred.

Reimbursement Information
We’ll reimburse our customers who have suffered financial losses as a direct result of the theft of their payment card details. We’ll also offer credit rating monitoring, provided by specialists in the field, to any affected customer who is concerned about an impact to their credit rating.

More information will be available on ba.com, so please check for regular updates.

Action you need to take
We take the protection of your personal information very seriously and would encourage you to review the advice below:

1. British Airways will never proactively contact you to request your personal or confidential information. If you ever receive an email or call, claiming to be from us, requesting this information, please report it to us straight away.

2. Review your credit card or bank account statements as soon as you can to check for unauthorised transactions or payments. If you suspect fraud, contact your bank immediately.

3. Do not respond to, or follow any web links from untrusted sources.

Once again, we truly apologise for any worry and inconvenience this criminal activity has caused. Our contact numbers can be found at ba.com, or you can email our Data Protection Officer at DPO@ba.com.


Yours sincerely

In der zweiten Mail hieß es ganz klar, dass meine Daten betroffen sind: We re truly sorry, but you may have been affected.

"May" lässt jeden Schluss und jegliche Wahrscheinlichkeit offen.
Das gilt nicht nur beim Brexit.

 

[DigitalOlli]

Ich hatte ebenfalls Bedenken und habe abgebrochen.

Hab es mal ausgefüllt. Wollen ja nur Name und Email Adresse

 

[Brechten]

Habe ich auch gemacht, mal sehen ob bzw. was weiter passiert.

 

[rolst01]

Wieso schreibt ihr eure Schäden nicht direkt an British Airways? Die bieten in der Mail doch ein Reimbursment an. Da braucht man doch erst mal keine dubiose Sammelklagen Anwaltskanzlei...?

 

[chrini1]

Wieso schreibt ihr eure Schäden nicht direkt an British Airways? Die bieten in der Mail doch ein Reimbursment an. Da braucht man doch erst mal keine dubiose Sammelklagen Anwaltskanzlei...?

Was bitte ist an SPG dubios? Es geht außerdem um immaterielle Schäden, die BA nicht ersetzen will.

 

[janetm]

Was bitte ist an SPG dubios? Es geht außerdem um immaterielle Schäden, die BA nicht ersetzen will.

Schmerzensgeld weil man eine neue Kartennummer bekommen hat?

 

[whitewing]

Auch Prämienbuchungen sind betroffen.

Dear Customer,

On 6 September 2018, we regrettably announced that we were the target of a criminal data theft involving the personal and financial details of customers making or changing bookings at ba.com, or via the British Airways app.

Since then we’ve been conducting a thorough investigation with specialist cyber forensic investigators, liaising with the National Crime Agency. As a result of the investigation I am writing to let you know that you may have been affected by the data theft, when you made a reward booking between 21 April and 28 July 2018.

While we do not have conclusive evidence that the data was removed from British Airways’ systems, it is possible your personal data may have been compromised. This includes your full name, billing address, email address and payment card number, expiry date and CVV. As a precaution we recommend you contact your bank or card provider and follow their advice.

We are very sorry that this criminal activity has occurred. We’ll reimburse our customers who have suffered financial losses as a direct result of the theft of their payment card details. We’ll also offer credit rating monitoring, provided by specialists in the field, to any affected customer who is concerned about an impact to their credit rating.

Action you need to take
We take the protection of your personal information very seriously and would encourage you to review the advice below:
1. British Airways will never proactively contact you to request your personal or confidential information. If you ever receive an email or call, claiming to be from us, requesting this information, please report it to us straight away.
2. Review your credit card or bank account statements as soon as you can to check for unauthorised transactions or payments. If you suspect fraud, contact your bank immediately.
3. Do not respond to or follow any web links from untrusted sources.

Once again, we truly apologise for any worry and inconvenience this criminal activity has caused. Our contact numbers can be found at ba.com, or you can email our Data Protection Officer at DPO@ba.com.

 

[Meilenjäger]

Hab die BA Mail mit Awardbuchungen auch erhalten, allerdings diese alle via paypal bezahlt.

Muss man sich da jetzt bezüglich paypal account & Kennwörter ebenfalls sorgen?

 

[smalessu]

Muss man sich da jetzt bezüglich paypal account & Kennwörter ebenfalls sorgen?

Eigentlich nicht, da man nach so einer Meldung die Passwoerter sowieso schon laengst geaendert hat

 

[cockpitvisit]

Eigentlich nicht, da man nach so einer Meldung die Passwoerter sowieso schon laengst geaendert hat

Bald gibt's bestimmt Trojaner, die gefälschte Meldungen über Datenleaks anzeigen, damit der User gleich alle Passwörter ändert und man so all seine Passwörter auf einmal abgreifen kann

 

[witmore]

Kann bei mir eigentlich nur die Geschichte mit BA sein, das ist aber schon ein paar Tage / Wochen her, seltsam, dass erst jetzt die Karten gesperrt werden.

Noch mehr Kunden von Datenraub bei British Airways betroffen
25.10.2018, 19:14 Uhr

https://www.nzz.ch/wirtschaft/datenraub-bei-british-airways-noch-mehr-kunden-betroffen-ld.1431278

Im britischen Fernsehen wurde die Frage aufgeworfen, ob das etwas mit der dieses Jahr erfolgten Auslagerung der Buchungen an einen externen Dienstleister zu tun haben könnte. Der BA-Manager verneinte diese Möglichkeit.

Ich habe jetzt keine Information, dass BAs Dienstleister tatsächlich Magento als Shop-Software einsetzte, aber die Ähnlichkeit des Angriffs ist auffällig. Es war Angreifern gelungen, bei Tausenden Onlineshops in das Script (Programm), das die Webseite in den Browser lädt, einen Zusatz einzufügen, der die Daten noch an eine andere Adresse schickt. Also kein Einbruch in die Kunden-Datenbank des Anbieters, sondern ein Abgreifen während des Bestellvorgangs.

https://www.heise.de/suche/?q=magen...t.y=0&rm=search&sort_by=date&channel=security

Insbesondere:
Magento: Tausende Online-Shops greifen heimlich Kreditkarten-Informationen ab
Alert! 05.09.2018 16:26 Uhr
https://www.heise.de/security/meldu...ch-Kreditkarten-Informationen-ab-4155752.html

 

[witmore]

War dann doppelt.

maxbluebrosche meint, hierher umzuleiten.

 

[Individualurlauber]

Edith: falsches Forum

 

[SuperConnie]

Dafür stellt das Information Commissioner's Office BA eine Strafe in Höhe von £183 Mio. in Rechnung (ft.com).

 

[Thomas_B]

Geschädigte scheinen auch Anspruch auf Schadenersatz zu haben nach DSGVO. https://eugd.org scheint hier ähnlich wie flightright bei Verspätungen zu unterstützen.

https://www.basicthinking.de/blog/2019/07/18/europaeische-gesellschaft-fuer-datenschutz-eugd/

 

[bivinco]

Klar, gibt diverse Sammelklagen die am laufen sind und genau dahinter sind. Ich habe mich ebenfalls als Geschädigter einer angeschlossen.

 

[Thomas_B]

In Deutschland?

 

[symon]

Durch dieses Datenleck habe "ich" mit meiner bei British Airways verwendeten Adresse und Kreditkarte im Januar bei Dell einen Laptop bestellt. Seltsamerweise hat derjenige, der bestellte, dies auch an meine Anschrift liefern lassen. Ohne die Paketankündigung und Abbuchung auf der Kreditkarte hätte ich das nicht mitbekommen. Ist die Frage wo und wie er es dann abgeholt hätte. Mit meiner Info an UPS & Polizei ging das Paket noch im Versandlager Retour (was DHL nicht hinbekäme) und das Geld war so wieder beim Kreditkartenaussteller. Trotzdem erschreckend zu sehen was mit geklauten Daten alles passiert. British Airways hatte ich ihm Januar dazu um Stellungnahme gebeten - aber keine Antwort erhalten.

 

[Thomas_B]

Ich weiß nicht ob Cross-Postings gewünscht sind, aber dieses Update von MaxBerlin ist vielleicht für einige hier spannend:
https://www.vielfliegertreff.de/kreditkarten/115363-priceless-specials-121.html#post3005669

https://www.standard.co.uk/news/uk/...696.html?utm_medium=Social&utm_source=Twitter #Echobox=1570347144

"At a hearing at the High Court in London, Mr Justice Warby granted a group litigation order, paving the way for a mass legal action."


"The airline informed the ICO and began to contact affected customers when it discovered the breach in September 2018.

There are currently more than 5,000 affected customers being represented by SPG Law and a further 230 represented by Your Lawyers Limited, who are bringing claims for compensation.

But the potential number of claimants is much larger and the judge granted a window of 15 months from the hearing on Friday for people to join the group litigation."

 

[Hauptmann Fuchs]

22€ Millionen war das Bussgeld für diese Affäre.

 

[Anonym38428]

22€ Millionen war das Bussgeld für diese Affäre.

Peanuts.

 

[juliuscaesar]

Die Strafe wurde „wegen Corona“ von 180 Millionen auf 20 Millionen GBP gekürzt.

Edit: Quelle: https://www.aero.de/news-37292/British-Airways-muss-geringeres-Bussgeld-bezahlen.html

 

[juliuscaesar]

Ich weiß nicht ob Cross-Postings gewünscht sind, aber dieses Update von MaxBerlin ist vielleicht für einige hier spannend:
https://www.vielfliegertreff.de/kreditkarten/115363-priceless-specials-121.html#post3005669

sind das zusätzliche, zivilrechtliche Klagen?

 

[DigitalOlli]

Hat hier schon jemand was gehört?

 

[chrini1]

Hat hier schon jemand was gehört?

Ja. Aber wir dürfen dazu nichts sagen. Jeder Beteiligte hat im Rahmen der Claims akzeptiert, sich zur Höhe und zum Inhalt des Settlements nicht zu äußern.