חברת התעופה בריטיש איירווייס סירבה להתייחס לטענות של חברת אבטחת סייבר כי מצאה את בסיס הפריצה הזדונית לאתר, אשר חשפה נתוני כרטיסי אשראי של 380 אלף עסקאות, אם כי ללא נתוני נסיעות או פרטי דרכונים.
חברת אבטחת הסייבר RiskIQ טוענת שהסקריפט הזדוני הוזרק הן לאתר האינטרנט של BA והן לאפליקציה שלו, מה שאיפשר להאקרים לגנוב מידע פיננסי של הלקוחות.
אחד מחוקרי החברה ניתח את הקוד מאתר האינטרנט והאפליקציה של בריטיש איירווייס מסוף אוגוסט – כאשר חברת התעופה נפרצה – וטוען כי גילה סקריפט שלדבריו היה דומה לזה של אתר האינטרנט של טיקטמאסטר (Ticketmaster) שנפרץ אף הוא לאחרונה. הוא אמר כי הקוד שנמצא באתר האינטרנט של בריטיש היה "דומה מאוד", אבל שונה, כדי להתאימו לעיצובו של אתר חברת התעופה.
בבריטיש אמרו בתגובה כי מכיוון שמדובר בחקירה פלילית, הם מנועים מלהגיב על ספקולציות.
התקיפה תוכננה כך שתשתלב בהליך התשלום הנורמלי
בדו"ח על ממצאי חברת RiskIQ, אשר הוצגו ב-BBC, אמר החוקר כי ההונאה הזו קשורה במידה רבה לאופן הגדרתו של דף התשלום של בריטיש איירווייס, מה שמעיד שהתוקפים שקלו בקפידה כיצד להתמקד באתר במקום להזריק את הסקריפט הרחב. עוד אמר החוקר כי התשתית להתקפה זו תוכננה במחשבה על אתר בריטיש וכוונה באופן מיוחד כך שתשתלב בהליך התשלום הנורמלי כדי שלא להתגלות.
לפי RiskIQ, הסקריפט הזדוני שאב מידע מטפסי תשלום און ליין של בריטיש, ואז שלח אותם לשרת של ההאקר, כאשר הלקוח הקיש את מקש ה"שלח" (submit).
בריטיש עומדת בפני תביעות פיצויים כבדות בנוסף לפיצוי שחברת התעופה כבר הבטיחה לשלם על האבדן הכספי, כולל סכומי כסף שנגנבו מחשבונות בנק ותשלום שירות ניטור לחברות האשראי למשך שנה למי שנפגעו.
ה"טיימס" טוען כי פירמת עורכי דין תובעת שבריטיש איירווייס תשלם גם על נזק שאינו חומרי וכי על כל נוסע לקבל את האפשרות לדרוש 1,250 פאונד. אם כל הנוסעים שנפגעו אכן יתבעו – עלולות ההוצאות לחברת התעופה להגיע ל-475 מיליון פאונד.
מצבה של בריטיש איירווייס עדין במיוחד לאור תקנות אבטחת המידע החדשות – GDPR – Global Data Protection Regulations – שנכנסו לתוקף בממלכה המאוחדת ב-25 במאי השנה, מה שיחשוף את החברה לקנסות, במיוחד לאור העובדה שנדרשו לה 16 יום כדי לגלות את הפריצה.