La plateforme de fidélité espagnole Travel Club fait face à un incident de ransomware signalé attribué au groupe de ransomware Everest. La plateforme est exploitée par Air Miles España et est largement utilisée à travers le pays comme programme de points relié aux grands détaillants et partenaires de voyage. Selon les informations publiées par les attaquants, l’incident implique le vol présumé de 131 Go de données contenant des millions d’enregistrements clients. Les données présentées dans l’annonce de la fuite incluent des noms, des adresses e-mail, des identifiants de compte, des informations démographiques et des informations liées à l’activité du programme de fidélité. Everest a déclaré qu’elle demandait un paiement de la part de la société et a fixé un compte à rebours pour une réponse.
Les chercheurs ayant examiné les publications des attaquants ont déclaré que les preuves comprenaient une capture d’écran d’un fichier CSV listant les noms complets et les adresses e-mail. Bien que cela ne confirme pas l’étendue complète de la faille, l’échantillon est cohérent avec le type de données généralement stocké par les plateformes de fidélité disposant de larges bases de clients. Travel Club compte plus de six millions de membres en Espagne et collabore avec des marques telles que Repsol, Eroski et Iberia. Ces partenariats permettent aux clients de gagner des points grâce à des achats dans différents secteurs. L’ampleur de ces relations signifie qu’une violation pourrait affecter non seulement les utilisateurs finaux, mais aussi les partenaires d’entreprise qui dépendent de services de marketing et d’analyse partagés.
Réclamation de rançon et tactiques de groupe
Le groupe de l’Everest est connu pour ce que les analystes décrivent comme une approche de double extorsion. Dans ce modèle, les attaquants extraient des données avant de tenter de perturber les systèmes par chiffrement. Ils font ensuite pression sur les victimes en menaçant de publier les informations volées si le paiement n’est pas effectué. Cette tactique augmente le risque de préjudice réputationnel car les organisations concernées subissent à la fois des dommages opérationnels et le risque de divulgation de données sensibles. Le groupe est actif depuis au moins 2021 et a été lié à des incidents précédents impliquant des entreprises dans les télécommunications, la vente au détail de vêtements et les services d’entreprise.
Dans l’affaire du Travel Club, Everest a affirmé que les données exfiltrées comprenaient des millions d’entrées de clients. Si c’est exact, cela représenterait une mine importante d’informations personnelles pouvant être détournées dans des campagnes de phishing ciblées ou des systèmes de collecte de références. Les grandes plateformes de fidélisation sont des cibles fréquentes car elles conservent des registres détaillés du comportement des clients, des informations de contact et des activités transactionnelles. Cette combinaison de types de données peut être rentable pour les attaquants et peut également soutenir de nouvelles tentatives de fraude contre des individus.
Air Miles España n’a pas publié de déclaration officielle concernant l’incident au moment du rapport. Le manque de confirmation laisse ouverte des questions sur l’impact opérationnel sur la plateforme et sur la question de savoir si des systèmes internes étaient chiffrés. Les informations disponibles proviennent principalement des affirmations des attaquants et de chercheurs en sécurité qui ont examiné les documents publiés par Everest en ligne.
Conséquences potentielles pour les clients et partenaires
Les analystes de la sécurité ont indiqué que la faille devrait être examinée par les règles européennes de protection des données si l’exposition est vérifiée. Les données des programmes de fidélité sont souvent qualifiées d’informations personnelles, ce qui signifie que les violations peuvent déclencher des exigences de notification et des mesures réglementaires potentielles. La confiance des clients pourrait être affectée si des individus deviennent la cible de messages non sollicités ou de tentatives de phishing qui font référence à des informations personnelles exactes issues de l’ensemble de données.
Les entreprises partenaires peuvent également subir des conséquences indirectes. Les détaillants et les prestataires de voyage qui participent aux campagnes du Travel Club intègrent souvent les interactions clients avec leurs propres systèmes marketing. Si les données clients liées à ces programmes étaient divulguées, cela pourrait contraindre les partenaires à réévaluer leur gestion des données promotionnelles et à savoir s’ils doivent informer leurs propres utilisateurs des risques potentiels.
Les chercheurs ont indiqué que les clients devraient être vigilants face à des contacts inattendus prétendant provenir de Travel Club ou de partenaires apparentés. Les messages demandant la vérification du compte, la réinitialisation du mot de passe ou des informations de paiement doivent être traités avec prudence. Les individus peuvent réduire le risque de fraude en évitant les liens envoyés par messages non sollicités et en confirmant l’activité des comptes directement sur le site officiel.
La situation reste instable, et l’ampleur de la violation deviendra plus claire si Air Miles España fournit une mise à jour ou si les attaquants publient davantage de données. Pour l’instant, les affirmations d’Everest soulignent le risque persistant auquel sont confrontés les opérateurs de programmes de fidélité qui maintiennent de vastes ensembles de données et desservent de larges réseaux de détail.