Komoly kritika érte a British Airways (BA) légitársaságot, amiért egy, az elektronikus jegyfoglalási rendszerét érintő sérülékenység veszélyezteti az utasok adatainak biztonságát. A probléma nem szoftveres sérülékenység, hanem egy tervezési hiba eredménye, ami az ügyfeleknek e-mailekben kiküldött ellenőrző linkeket érinti. Ezek az URL-ek úgy kerültek kialakításra, hogy az utasoknak elég legyen rákattintaniuk a linkre, hogy megtekinthessék a foglalási adataikat. A biztonsági kockázat abban rejlik az URL-be ágyazott információk nem kerülnek titkosításra, ami azt jelenti, hogy egy illetéktelen személy az e-mailt megszerezve hozzáférést szerezhet az adott utas több személyazonosításra alkalmas (Personally Identifying Information – PII) adatához. Szerencsére ezek között pénzügyi információk, vagy útlevél számok nem találhatóak meg, mindazonáltal így is számos olyan információ érhető el ─ az utas neve, e-mail címe, telefonszáma és utazási adatai ─, amelyek rendkívül értékesek a kiberbűnözők számára. Az esetről tudósító Wandera ezt a kifogásolható gyakorlatot egyébként számos további légitársaság rendszerében is azonosította, ilyen volt például az amerikai Southwest, a holland KLM és a Transavia, a spanyol Vueling és az Air Europe, az osztrák Jetstar és az angol Thomas Cook. A BA azzal védekezik, hogy a Wanderától semmiféle tájékoztatást nem kaptak a problémáról, egyes vélemények szerint azonban a cégre egy tavalyi adatszivárgási incidens miatt kiszabott, összesen 230 millió dolláros bírság után már az is meglepő, hogy az egyáltalán létezik. Cesar Cerrudo, az IOActive vezetője az eset kapcsán megjegyezte, hogy egy külső cég által végzett sérülékenységvizsgálat során a hibának minden kétséget kizáróan ki kellett volna ütköznie.
