Le groupe de ransomware Everest affirme avoir violé les systèmes de la compagnie aérienne espagnole Iberia et extrait 596 Go de données internes de la compagnie. Le groupe a publié cette affirmation sur son site de fuite et a déclaré exiger une rançon de 6 millions de dollars pour empêcher la diffusion ou la vente du contenu. Selon les rapports, les échantillons publiés incluent des noms de clients, des coordonnées, des dates de naissance, des informations de réservation, des données de cartes de paiement masquées et des profils marketing. Les attaquants affirment également avoir obtenu 430 Go de fichiers e-mail qui contiendraient plus de cinq millions d’enregistrements liés aux réservations de vols.
Le groupe affirme en outre avoir conservé un accès à long terme aux systèmes d’Iberia et pouvoir consulter et modifier les données de réservation. Selon le post de fuite, les attaquants affirment que l’ensemble de données comprend l’historique complet des réservations, les identifiants personnels et les journaux de communication liés aux réservations des passagers. Ces affirmations n’ont pas été vérifiées de manière indépendante, et Iberia n’a pas confirmé si le volume complet de données décrit est authentique.
Iberia avait précédemment attribué l’incident à une violation chez un fournisseur tiers et a indiqué que les identifiants de connexion et les informations complètes de paiement n’avaient pas été révélés. La compagnie aérienne a indiqué que les noms des clients, les identifiants de carte de fidélité et les adresses e-mail pouvaient avoir été compromis. L’ampleur des données désormais revendiquées par l’Everest semble nettement supérieure à ce que la compagnie aérienne avait initialement reconnu. La présence de nombreux dossiers de réservation laisse penser que les attaquants avaient accès à des systèmes offrant des privilèges plus larges que ceux décrits dans la divulgation initiale de la compagnie.
Les chercheurs en sécurité ayant examiné les échantillons publiés ont déclaré que le matériel semble cohérent avec les données souvent stockées par les systèmes de réservation aérienne. Les fichiers e-mail de ces systèmes peuvent contenir des détails de vol, des informations sur les passagers, des mises à jour de réservation et des paiements partiels. Si l’ensemble de données est authentique, pourrait présenter des risques notables pour les voyageurs concernés. Les attaquants pourraient utiliser ces informations pour des modifications frauduleuses de réservation, du vol d’identité, du phishing ou des arnaques ciblées. La diffusion publique des informations de réservation modifiables pourrait également permettre des modifications malveillantes des vols ou des tentatives d’utilisation abusive des identifiants financiers stockés.
Everest a averti que la publication de l’ensemble complet de données entraînerait une perturbation généralisée et des dommages potentiels aux passagers. Le groupe utilise fréquemment ces menaces pour accroître la pression sur les victimes lors des négociations de rançon. Les analystes en cybersécurité ont déclaré que si les attaquants avaient eu un accès à long terme, ils auraient pu capturer des données au-delà de ce qui a été publié jusqu’à présent.
Iberia a déclaré avoir activé des procédures de réponse aux incidents, informé les forces de l’ordre et pris des mesures visant à réduire le risque d’un nouvel accès non autorisé. La première divulgation de la compagnie aérienne précisait qu’elle exigeait des codes de vérification avant que les utilisateurs ne changent d’adresse e-mail de compte dans le cadre de ses mesures de sécurité. Elle n’a pas commenté publiquement les affirmations faites par l’Everest concernant l’étendue des données ou la demande de rançon.
L’incident met en lumière les risques auxquels sont confrontées les compagnies aériennes qui dépendent des fournisseurs et des prestataires tiers pour gérer les systèmes de réservation et de communication. Les analystes de la sécurité notent que les attaques contre ces partenaires peuvent exposer de grands volumes de données sensibles même lorsque les systèmes de la compagnie restent conformes aux normes de sécurité. Ils conseillent aux passagers d’être prudents face aux emails inattendus liés aux réservations et de vérifier la communication par les canaux officiels plutôt que par les liens envoyés par messages non sollicités.