Het ‘delen’ door mensen van gegevens is vooral iets waar ondernemingen profijt van hebben, zeker de datagraaiers uit Silicon Valley. Recent kwam daar weer eens een mooi voorbeeldje van in het nieuws.

Een IT-specialist die bij British Airways een vlucht wilde boeken naar security conferentie ontdekte dat hij alleen kon inchecken als hij zijn advertentieblokkeringssoftware uitzette (met alle risico’s van dien). Het doet denken aan cybersecurity expert Bart Jacobs, die een kopietje paspoort per e-mail moest versturen en daarom niet naar een cybersecurity conferentie ging.

Bovendien ontdekte de IT-specialist dat zijn boekingsgegevens werden gelekt naar adtech bedrijven zoals LinkedIn, Twitter en Google DoubleClick:

Recently, I tried to check-in online on your website, but the interstitial page did not redirect me, and thus I was unable to check-in. I discovered that this was because my adblocker was enabled. After disabling my adblocker, I discovered that your check-in page was leaking my booking reference and surname to countless third parties for advertising purposes, including Twitter, LinkedIn and Google Doubleclick. I’ve attached for some network logs from Chrome’s web developer console for some example evidence.

Een dergelijke lekkage van vertrouwelijke persoonsgegevens levert niet alleen ongewenste reclame van adtech bedrijven op, maar levert ook een ernstig veiligheidsrisico’s op voor de reiziger. Mogelijk kan er met die gegevens zelfs op de boeking worden ingelogd.

British Airways is ook zo dom om vertrouwelijke persoonsgegevens via Twitter op te vragen, zo blijkt uit andere berichten.

Bij dit soort onverantwoordelijk gedrag horen hoge boetes.

Berichten IT-specialist over het British Airways datalek
Onderstaand de melding op Twitter door de IT-specialist:

[17 juli]

It worked after turning off adblock. So that let me down a rabbit hole, and it seems you leak my booking information to tons of third party advertisers and trackers (including LinkedIn, Twitter, DoubleClick) when I attempt to check in online. Why? I did not consent to this. pic.twitter.com/4hpFi7Y3J2

— Mustafa Al-Bassam (@musalbas) 17 juli 2018

[20 juli]

3) I have followed their advice of opting out of “advertising permanently” by going to https://t.co/1rukaSvi2B – but their website *still* leaks booking data to third parties. pic.twitter.com/la5mCaaqOB

— Mustafa Al-Bassam (@musalbas) 20 juli 2018

Persoonsgegevens via Twitter
Een andere twitteraar meldt dat British Airways via twitter om gevoelige gegevens vraagt:

Don’t bother complaining, they just ask for even more PII… to comply with GDPR?? 🤔 pic.twitter.com/kjYzbVI107

— // Alan Curran (@_AlanCurran) 17 juli 2018

Troy Hunt doet ook mee:

Is this how you GDPR? https://t.co/7LnPQiqLmF

— Troy Hunt (@troyhunt) 19 juli2018

Meer informatie:

• Klacht van de security-specialist, zoals door hem openbaar gemaakt op Github.
• Over de domheid van BA die via Twitter persoonsgegevens opvraagtBritish Airways asked customers to post personal information on Twitter ‘to comply with GDPR’ (The Verge); British Airways shows everyone how not to GDPR, TechCrunch 19 juli 2018; British Airways accused of GDPR violation over data leaks, IT Wire 20 juli 2018; British Airways soll unerlaubt persönliche Daten weitergeben, Golem 20 juli 2018