Häkkerite saagiks langesid kõik andmed, millega võõraid krediitkaardimakseid teha: täisnimi, aadress, e-posti aadress, kaardi number, kehtivusaeg ja kolmekohaline CVV kood.
Firma lubab tekkinud kahju hüvitada, kuid iga kaardiomanik peaks pöörduma ka kaardi välja andnud panga poole.
Kuidas British Airways häkiti?
Küberturbe ekspertide sõnul jääb British Airwaysi napisõnalisest kirjast kõige tõenäolisemalt mulje, et häkkeritel õnnestus saada kontroll andmete sisestamise punkti üle.
Surrey ülikooli professor Alan Woodward ütles BBCle, et kui kliendid sisestasid oma krediitkaardi andmed firma veebilehele, saatis häkkerite sinna istutatud koodijupp andmed ka kurjategijatele.
Sellele teooriale annab kaalu fakt, et firma teab häkkerite saagiks langenud andmete täpset ajavahemikku. Lisaks väidab lennufirma, et häkkerid said oma valdusse ka CVV koodid – neid kolmekohalisi kontrollnumbreid ei peaks firmad tavaliselt oma valduses hoidma ega salvestama, sest neid kasutatakse ainult makse hetkel kaardiandmete kontrollimiseks. Kuna aga British Airways teab, et häkkerid said ka need andmed kätte, olid häkkerid ilmselt pugenud krediitkaardi andmete sisestamise vormi juurde.
Paljudel veebilehtedel on kasutusel nii-öelda kolmanda osapoole kood, mis võib pärineda turundusagentuuride, reklaamivõrgustike, Facebooki või muude väliste teenusepakkujate juurest. See on ka üks võimalik uksi, mille kaudu häkkerid oma koodi veebilehele sokutada saavad.
