Die spanische Treueplattform Travel Club sieht sich einem gemeldeten Ransomware-Vorfall gegenüber, der der Ransomware-Gruppe Everest zugeschrieben wird. Die Plattform wird von Air Miles España betrieben und im ganzen Land als Punkteprogramm genutzt, das mit großen Einzelhändlern und Reisepartnern verbunden ist. Laut von den Angreifern veröffentlichten Informationen handelt es sich bei dem Vorfall um den angeblichen Diebstahl von 131 GB Daten, die Millionen von Kundendaten enthalten. Die in der Leak-Ankündigung vorgestellten Daten umfassen Namen, E-Mail-Adressen, Kontokennungen, demografische Details und Informationen im Zusammenhang mit Aktivitäten im Treueprogramm. Everest erklärte, dass es eine Zahlung vom Unternehmen fordert und einen Countdown für eine Antwort eingeleitet hat.
Forscher, die die Beiträge der Angreifer überprüften, sagten, die Beweise enthielten einen Screenshot einer CSV-Datei, die vollständige Namen und E-Mail-Adressen auflistet. Obwohl dies das volle Ausmaß des Datenbruchs nicht bestätigt, entspricht die Stichprobe der Art der Daten, die typischerweise von Loyalitätsplattformen mit großen Kundengruppen gespeichert werden. Travel Club hat mehr als sechs Millionen Mitglieder in Spanien und arbeitet mit Marken wie Repsol, Eroski und Iberia zusammen. Diese Partnerschaften ermöglichen es Kunden, durch Einkäufe in verschiedenen Branchen Punkte zu verdienen. Das Ausmaß dieser Beziehungen bedeutet, dass eine Sicherheitsverletzung nicht nur Endnutzer, sondern auch Unternehmenspartner betreffen könnte, die auf gemeinsame Marketing- und Analysedienste angewiesen sind.
Lösegeldforderung und Gruppentaktiken
Die Everest-Gruppe ist bekannt für das, was Analysten als doppelte Erpressungsstrategie beschreiben. In diesem Modell extrahieren Angreifer Daten, bevor sie versuchen, Systeme durch Verschlüsselung zu stören. Anschließend setzen sie die Opfer unter Druck, indem sie damit drohen, die gestohlenen Informationen zu veröffentlichen, falls keine Zahlung erfolgt. Diese Taktik erhöht die Wahrscheinlichkeit eines Reputationsschadens, da betroffene Organisationen sowohl operative Schäden als auch das Risiko der Freigabe sensibler Daten ausgesetzt sind. Die Gruppe ist seit mindestens 2021 aktiv und steht in Verbindung mit früheren Vorfällen mit Unternehmen aus den Bereichen Telekommunikation, Bekleidungshandel und Unternehmensdienstleistungen.
Im Fall Travel Club behauptete Everest, dass die exfiltrierten Daten Millionen von Kundeneinträgen enthielten. Wenn sie korrekt ist, stellt dies einen erheblichen Schatz an persönlichen Informationen dar, die in gezielten Phishing-Kampagnen oder Credential-Harvesting-Systemen missbraucht werden könnten. Große Loyalitätsplattformen sind häufige Ziele, da sie detaillierte Aufzeichnungen über Kundenverhalten, Kontaktinformationen und transaktionale Aktivitäten führen. Diese Kombination von Datentypen kann für Angreifer profitabel sein und auch weitere Betrugsversuche gegen Einzelpersonen unterstützen.
Air Miles España gab zum Zeitpunkt der Berichterstattung keine formelle Stellungnahme zu dem Vorfall ab. Das Fehlen einer Bestätigung lässt Fragen offen, welche operativen Auswirkungen auf die Plattform und ob interne Systeme verschlüsselt waren. Die verfügbaren Informationen stammen hauptsächlich aus den Behauptungen der Angreifer und von Sicherheitsforschern, die das von Everest veröffentlichte Material überprüft haben.
Mögliche Folgen für Kunden und Partner
Sicherheitsanalysten erklärten, dass der Datenverstoß voraussichtlich nach europäischen Datenschutzregeln überprüft wird, wenn die Exposition überprüft wird. Loyalitätsprogrammdaten gelten oft als persönliche Informationen, was bedeutet, dass Sicherheitsverletzungen Benachrichtigungspflichten und mögliche regulatorische Maßnahmen auslösen können. Das Vertrauen der Kunden könnte beeinträchtigt werden, wenn Personen Ziel unerwünschter Nachrichten oder Phishing-Versuche werden, die auf korrekte persönliche Informationen aus dem Datensatz beziehen.
Partnerunternehmen können ebenfalls mit indirekten Konsequenzen konfrontiert werden. Einzelhändler und Reiseanbieter, die an Travel Club-Kampagnen teilnehmen, integrieren oft Kundeninteraktionen mit ihren eigenen Marketingsystemen. Wenn Kundendaten, die mit diesen Programmen verknüpft sind, geleakt würden, könnte dies Partner dazu zwingen, zu überdenken, wie sie mit Werbedaten umgehen und ob sie ihre eigenen Nutzer über mögliche Risiken informieren müssen.
Die Forscher sagten, dass Kunden auf unerwartete Kontakte, die angeblich vom Travel Club oder verwandten Partnern stammen, wachsam sein sollten. Nachrichten, die eine Kontoverifizierung, Passwort-Reset oder Zahlungsinformationen anfordern, sollten mit Vorsicht behandelt werden. Einzelpersonen können die Betrugswahrscheinlichkeit verringern, indem sie Links vermeiden, die über unerwünschte Nachrichten gesendet werden, und indem sie die Kontoaktivitäten direkt auf der offiziellen Website bestätigen.
Die Situation bleibt unbeständig, und das Ausmaß des Verstoßes wird klarer, wenn Air Miles España ein Update liefert oder die Angreifer weitere Daten veröffentlichen. Derzeit heben die Behauptungen von Everest das anhaltende Risiko hervor, dem Betreiber von Loyalitätsprogrammen ausgesetzt sind, die große Datensätze pflegen und breite Einzelhandelsnetzwerke bedienen.