La gang ransomware Everest sostiene di aver violato i sistemi della compagnia aerea spagnola Iberia ed estratto 596 GB di dati interni dalla compagnia aerea. Il gruppo ha pubblicato la dichiarazione sul sito di fuga di notizie e ha dichiarato di chiedere un riscatto di 6 milioni di dollari per impedire la pubblicazione o la vendita del materiale. Secondo i rapporti, i campioni pubblicati includono nomi di clienti, dati di contatto, date di nascita, informazioni di prenotazione, dati di carte di pagamento mascherate e profili di marketing. Gli aggressori affermano inoltre di aver ottenuto 430 GB di file email che contengono più di cinque milioni di record collegati alle prenotazioni di voli.
Il gruppo afferma inoltre di aver mantenuto accesso a lungo termine ai sistemi di Iberia e di poter visualizzare e modificare i dati di prenotazione. Secondo il post della fuga di notizie, gli aggressori affermano che il dataset include la cronologia completa delle prenotazioni, identificatori personali e registri di comunicazione collegati alle prenotazioni dei passeggeri. Queste affermazioni non sono state verificate in modo indipendente e Iberia non ha confermato se l’intero volume di dati descritti sia autentico.
Iberia aveva precedentemente attribuito l’incidente a una violazione presso un fornitore terzo e ha affermato che le credenziali di accesso e le informazioni complete sul pagamento non erano state esposte. La compagnia aerea ha dichiarato che i nomi dei clienti, gli identificatori delle carte fedeltà e gli indirizzi email potrebbero essere stati compromessi. La portata dei dati ora rivendicati da Everest sembra significativamente più ampia di quanto la compagnia aerea inizialmente riconosceva. La presenza di numerosi registri di prenotazione solleva la possibilità che gli attaccanti avessero accesso a sistemi con privilegi più ampi rispetto a quelli descritti nella dichiarazione originale della compagnia aerea.
I ricercatori di sicurezza che hanno esaminato i campioni pubblicati hanno affermato che il materiale sembra coerente con i dati spesso archiviati dai sistemi di prenotazione delle compagnie aeree. I file email provenienti da tali sistemi possono contenere dettagli sui voli, informazioni sui passeggeri, aggiornamenti sulle prenotazioni e registri parziali dei pagamenti. Se autentico, il dataset potrebbe rappresentare rischi notevoli per i viaggiatori coinvolti. Gli aggressori potrebbero utilizzare queste informazioni per modifiche fraudolente a prenotazioni, furto d’identità, phishing o truffe mirate. La pubblicazione delle informazioni modificabili sulle prenotazioni potrebbe anche consentire modifiche malevole ai voli o tentativi di abusare degli identificatori finanziari memorizzati.
Everest ha avvertito che la pubblicazione dell’intero dataset causerebbe una diffusa interruzione e potenziali danni ai passeggeri. Il gruppo utilizza frequentemente tali minacce per aumentare la pressione sulle vittime nelle trattative per il riscatto. Gli analisti di cybersecurity hanno affermato che, se gli attaccanti avessero avuto accesso a lungo termine, avrebbero potuto raccogliere dati oltre quelli finora rilasciati.
Iberia ha dichiarato di aver attivato procedure di risposta agli incidenti, notificato le forze dell’ordine e adottato misure volte a ridurre il rischio di ulteriori accessi non autorizzati. La prima dichiarazione della compagnia aerea indicava che richiede codici di verifica prima che gli utenti cambino indirizzo email di account come parte delle misure di sicurezza. Non ha commentato pubblicamente le affermazioni fatte dall’Everest riguardo all’entità dei dati o alla richiesta di riscatto.
L’incidente evidenzia i rischi affrontati dalle compagnie aeree che si affidano a fornitori e fornitori terzi per gestire i sistemi di prenotazione e comunicazione. Gli analisti della sicurezza osservano che gli attacchi a questi partner possono esporre grandi volumi di dati sensibili anche quando i sistemi della compagnia aerea rimangono conformi agli standard di sicurezza. Consigliano ai passeggeri di essere cauti riguardo a email impreviste relative alle prenotazioni e di verificare la comunicazione tramite canali ufficiali piuttosto che tramite i link inviati tramite messaggi non richiesti.