Die Ransomware-Bande Everest behauptet, die Systeme der spanischen Fluggesellschaft Iberia gehackt und 596 GB interner Daten von der Fluggesellschaft extrahiert zu haben. Die Gruppe veröffentlichte die Behauptung auf ihrer Leak-Seite und erklärte, sie fordere ein Lösegeld von 6 Millionen US-Dollar, um die Freigabe oder den Verkauf des Materials zu verhindern. Laut Berichten enthalten die veröffentlichten Stichproben Kundennamen, Kontaktdaten, Geburtsdaten, Buchungsinformationen, Daten mit maskierten Zahlungskarten und Marketingprofile. Die Angreifer geben außerdem an, dass sie 430 GB an E-Mail-Dateien erhalten haben, die Berichten zufolge mehr als fünf Millionen Datensätze enthalten, die mit Flugbuchungen in Verbindung stehen.
Die Gruppe behauptet außerdem, langfristig Zugang zu Iberias Systemen zu behalten und Buchungsdaten einsehen und ändern zu können. Laut dem geleakten Beitrag berichten die Angreifer, dass der Datensatz vollständige Buchungsverläufe, persönliche Kennungen und Kommunikationsprotokolle enthält, die mit Passagierreservierungen verknüpft sind. Diese Behauptungen wurden nicht unabhängig bestätigt, und Iberia hat nicht bestätigt, ob das gesamte beschriebene Datenvolumen echt ist.
Iberia führte den Vorfall zuvor auf eine Sicherheitslücke bei einem Drittanbieter zurück und erklärte, dass Zugangsdaten und vollständige Zahlungsinformationen nicht offengelegt wurden. Die Fluggesellschaft gab an, dass Kundennamen, Treuekartenkennungen und E-Mail-Adressen möglicherweise kompromittiert wurden. Das Datenvolumen, das Everest nun für sich beansprucht, scheint deutlich größer zu sein, als die Fluggesellschaft zunächst anerkannt hatte. Das Vorhandensein umfangreicher Buchungsdaten lässt die Möglichkeit entstehen, dass die Angreifer Zugang zu Systemen mit umfassenderen Privilegien hatten als die in der ursprünglichen Offenlegung der Fluggesellschaft beschriebenen.
Sicherheitsforscher, die die veröffentlichten Proben geprüft haben, sagten, das Material scheint mit den Daten übereinzustimmen, die oft von Flugreservierungssystemen gespeichert werden. E-Mail-Dateien aus solchen Systemen können Flugdaten, Passagierinformationen, Buchungsupdates und Teilzahlungsaufzeichnungen enthalten. Wenn der Datensatz authentisch ist, könnte er erhebliche Risiken für betroffene Reisende darstellen. Angreifer könnten die Informationen für betrügerische Buchungsänderungen, Identitätsdiebstahl, Phishing oder gezielte Betrügereien nutzen. Die öffentliche Freigabe editierbarer Buchungsinformationen könnte auch böswillige Änderungen von Flügen oder Versuche zur Missnutzung gespeicherter Finanzidentifikatoren ermöglichen.
Everest warnte, dass die Veröffentlichung des vollständigen Datensatzes weitreichende Störungen und potenzielle Schäden für die Fahrgäste verursachen würde. Die Gruppe nutzt solche Drohungen häufig, um den Druck auf die Opfer bei Lösegeldverhandlungen zu erhöhen. Cybersecurity-Analysten sagten, dass Angreifer, wenn sie langfristigen Zugang gehabt hätten, möglicherweise Daten über das bisher veröffentlichte erfassen konnten.
Iberia erklärte, es habe die Einsatzmaßnahmen aktiviert, die Strafverfolgungsbehörden informiert und Maßnahmen ergriffen, um das Risiko weiterer unbefugter Zugriffe zu verringern. Die erste Offenlegung der Fluggesellschaft besagte, dass sie als Teil der Sicherheitsmaßnahmen Verifizierungscodes benötigt, bevor Nutzer ihre Konto-E-Mail-Adresse ändern. Sie hat sich öffentlich zu den von Everest erhobenen Behauptungen über den Umfang der Daten oder die Lösegeldforderung geäußert.
Der Vorfall verdeutlicht die Risiken, denen Fluggesellschaften ausgesetzt sind, die auf Lieferanten und Drittanbieter für die Verwaltung von Reservierungs- und Kommunikationssystemen angewiesen sind. Sicherheitsanalysten weisen darauf hin, dass Angriffe auf diese Partner große Mengen sensibler Daten offenlegen können, selbst wenn die eigenen Systeme der Fluggesellschaft den Sicherheitsstandards entsprechen. Sie raten den Passagieren, bei unerwarteten E-Mails im Zusammenhang mit Buchungen vorsichtig zu sein und die Kommunikation über offizielle Kanäle zu überprüfen, anstatt über Links in unerwünschten Nachrichten.