被罰1.83億鎊，英航信息被盜人數升至50萬！現在他們還在嘴硬…

今天，英國規模最大航空公司之一的英國航空（British Airways），也就是中國小夥伴們都熟悉的「英航」，被一條高達1.83億英鎊的天價罰單給嚇懵了

以上2圖：BBC News、天空新聞網頁截圖

給英航開出這張罰單的，是英國信息委員會辦公室（The Information Commissioner"s Office，簡稱ICO）。

至於說罰款金額「破紀錄」，對比一下的話，此前由於信息安全相關問題曾經在英國境內開出的最高額罰單，是去年10月因為「劍橋分析醜聞」而被罰50萬鎊的Facebook……

相當於此次英航的罰單金額是Facebook的366倍！

圖：天空新聞

而這一切，都是起源於去年9月曝出的英航用戶信息大面積泄露事件……

被黑乘客數從38萬升至50萬，到底哪些信息被盜？

英航大範圍乘客個人信息泄露，最早是在去年9月6日曝光的，當時圈哥就有第一時間報道，戳下圖就可以複習整個事件

原圖：路透社

當時英航方面公布的情況是：泄露發生在2018年8月21日22:58到9月5日21:45，受到影響的用戶大約38萬人，他們被黑客獲取的個人信息包括姓名、電子郵件地址、家庭住址、付費銀行卡信息，但未涉及旅行時間安排或護照信息。

然而在今天ICO公布的調查結果顯示，實際影響比這更糟糕

英航網站漏洞不是從去年8月開始，而是6月起就已經中招；

估計受影響人數為50萬，遠超去年英航公布的38萬人；

泄露信息除了上面提到英航承認的類別之外，還包括用戶的網站登錄用戶名與密碼，以及旅行訂票細節。

圖：ThreatPost

至於信息竊取和泄露的方式，去年9月一切還沒有公布，當時有信息安全專家分析認為，可能是黑客在英航官網和嵌入英航官網鏈接介面的第三方網站嵌入了爬蟲代碼，「扒取」用戶信息。

然而今天ICO公布的調查結果顯示，黑客是通過黑進英航官網，直接把用戶引導至一個「詐騙頁面」，也就是讓乘客誤以為還在BA官網，但其實已經跳轉去了假的網頁，還什麼都不知道地留下了自己的所有信息……

英航官網首頁。圖：BA官網截圖

為何英航這次罰款金額這麼高？

前面已經提到，英航此次罰單金額，是去年Facebook創下英國境內信息安全罰金紀錄的366倍。

如此「天價」的罰單，是怎麼開出來的？

這一切還得從去年英國剛剛生效的通用數據保護條例（The General Data Protection Regulation，簡稱GDPR）講起。這項被英媒稱為「20年來信息安全監管最強震」的全新法規，是歐盟頒布的GDPR的「鏡像法規」。

前面提到Facebook去年的50萬鎊罰單，是英國GDPR生效前的的最後一次大企業罰款處理；而英航的信息泄露事件，就成了GDPR生效後的第一個「出頭鳥」……

圖：IT Pro

根據新GDPR規定，企業由於信息安全疏漏而可能被處以的罰金，最高可達年度營業額的4%。

而此次英航的1.83億鎊罰金，相當於其2017年全球營業額的1.5%，並沒有達到上限，也算是ICO「手下留情」了。BBC稱，如果按照4%來計算，那這次BA的罰單金額將飆升至5億英鎊！

圖：BBC News

這麼一算，英航在2017年的全球營業總額應該在122億鎊到125億鎊之間……

突然一點都不心疼了呢

英航：伐開心，要申訴

對於ICO開出的這筆1.83億鎊罰單，英航首席執行官亞歷克斯·克魯茲（Alex Cruz）是並不接受的，他稱該裁決令英航方面「驚訝且失望」。而且下面這段話，明顯看出來他是一點也不認為英航有任何做錯的地方

「英航面對這樣一起偷盜消費者信息的犯罪行為，反應是很及時的。並且，在與此次竊取行為相關的所有賬戶中，我們沒有發現任何它們已遭遇詐騙行為的證據。」

British Airways responded quickly to a criminal act to steal customers" data. We have found no evidence of fraud/fraudulent activity on accounts linked to the theft.

「對這件事所造成了所有不便，我們向消費者道歉。」

We apologise to our customers for any inconvenience this event caused.

簡單總結，克魯茲的言論有兩層意思：1) 英航已經很盡職盡責了；2) 又沒人真的丟錢，就別咬著我們不放了吧！

英航CEO亞歷克斯·克魯茲。圖：Skift

而英航母公司國際航空集團（IAG）首席執行官威利·沃什（Willie Walsh）的回應，就更是明顯要「硬杠到底」了

「英國航空公司將就擬議的罰款向ICO提出申述。我們打算採取一切適當措施，積極捍衛航空公司的地位，包括提出任何必要的上訴。」

British Airways will be making representations to the ICO in relation to the proposed fine.We intend to take all appropriate steps to defend the airline"s position vigorously, including making any necessary appeals.

國際航空集團CEO威利·沃什。圖：愛爾蘭時報

有意思的是，去年在信息泄露事件曝光後被英國網友全網嘲諷的英航，這次卻成為了推特網友們「回護」的對象，或者大家的矛頭轉向了針對ICO

@charlvdwalt：我覺得這會成為一個令人擔憂的先例，我希望（英航）申訴能成功。整件事看下來@英航也是受害者，而天價處罰受害者只會鼓勵更多隱瞞和其他錯誤行為的發生……

@WilliamHughes4：英航=1.89億鎊罰單，竊取信息的犯罪分子=分文不丟繼續犯罪，ICO=今年年會可以在豪華遊艇上舉行了。

@MrAjayJose：所以呢？反正最後消費者還是一毛錢都拿不到，信息該泄露還是泄露掉了。

@Spoggy1967：英航顧客才是雙重慘好么，不僅信息被竊取，而且最後還得通過高額機票的方式成為1.83億鎊的實際買單人……

以上4圖：Twitter @BBCBreaking 熱評截圖

那麼這1.83億鎊的罰金，到位之後是真的就都直接歸ICO支配了嗎？

根據BBC解讀

這筆罰金首先並不是全部收歸英國政府，而是會分成幾份，除了英方之外，直接交給歐盟的其他信息安全監管機構；

其中上交給ICO的這部分罰金，也是全款直接轉交給英政府財政部。

至於消費者，他們只能另外向英航方面索取賠款，但英航至今為止沒有任何關於此次事件相關的賠償公告……

圖：giphy

總之從今天算起，英航有28天的時間可以提出申訴……

至於最後結果如何，小夥伴們覺得1.83億鎊的罰單合適嗎？

（英倫圈綜編，編輯：Moo，內容參考BBC News、天空新聞、Twitter等，圖片除標註外均來自網路，轉載請註明。）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！