Ransomwarebende Everest beweert dat het de systemen van de Spaanse luchtvaartmaatschappij Iberia heeft gehackt en 596 GB aan interne gegevens van de luchtvaartmaatschappij heeft gehaald. De groep plaatste de claim op haar leksite en zei dat ze een losgeld van 6 miljoen USD eist om de vrijgave of verkoop van het materiaal te voorkomen. Volgens rapporten bevatten de gepubliceerde voorbeelden klantnamen, contactgegevens, geboortedata, boekingsinformatie, gegevens van gemaskerde betaalkaarten en marketingprofielen. De aanvallers geven ook aan dat ze 430 GB aan e-mailbestanden hebben verkregen die naar verluidt meer dan vijf miljoen records bevatten die verband houden met vluchtbesprekingen.
De groep beweert verder dat zij langdurige toegang tot de systemen van Iberia behielden en boekingsgegevens kon bekijken en wijzigen. Volgens het lekbericht zeggen de aanvallers dat de dataset volledige boekingsgeschiedenissen, persoonlijke identificatiegegevens en communicatielogboeken bevat die gekoppeld zijn aan passagiersreserveringen. Deze beweringen zijn niet onafhankelijk geverifieerd, en Iberia heeft niet bevestigd of het volledige volume beschreven gegevens echt is.
Iberia schreef het incident eerder toe aan een inbreuk bij een externe leverancier en zei dat inloggegevens en volledige betalingsinformatie niet waren vrijgegeven. De luchtvaartmaatschappij verklaarde dat de namen van klanten, loyaliteitskaartidentificaties en e-mailadressen mogelijk zijn gecompromitteerd. De omvang van de gegevens die Everest nu claimt, lijkt aanzienlijk groter dan wat de luchtvaartmaatschappij aanvankelijk erkende. De aanwezigheid van uitgebreide boekingsgegevens roept de mogelijkheid op dat de aanvallers toegang hadden tot systemen met bredere privileges dan die beschreven in de oorspronkelijke openbaarmaking van de luchtvaartmaatschappij.
Beveiligingsonderzoekers die de gepubliceerde monsters hebben bekeken, zeiden dat het materiaal overeenkomt met gegevens die vaak worden opgeslagen door reserveringssystemen van luchtvaartmaatschappijen. E-mailbestanden van dergelijke systemen kunnen vluchtgegevens, passagiersinformatie, boekingsupdates en gedeeltelijke betalingsgegevens bevatten. Als de dataset authentiek is, kan deze aanzienlijke risico’s vormen voor getroffen reizigers. Aanvallers kunnen de informatie gebruiken voor frauduleuze boekingswijzigingen, identiteitsdiefstal, phishing of gerichte oplichting. Publieke vrijgave van bewerkbare boekingsinformatie kan ook kwaadaardige wijzigingen in vluchten mogelijk maken of pogingen om opgeslagen financiële identificaties te misbruiken.
Everest waarschuwde dat het vrijgeven van de volledige dataset wijdverspreide verstoring en mogelijke schade voor passagiers zou veroorzaken. De groep gebruikt dergelijke dreigementen vaak om de druk op slachtoffers te vergroten tijdens losgeldonderhandelingen. Cybersecurity-analisten zeiden dat als aanvallers langdurige toegang hadden gehad, ze mogelijk data konden verzamelen die verder gingen dan tot nu toe vrijgegeven.
Iberia verklaarde incidentresponsprocedures te hebben geactiveerd, de wetshandhaving te informeren en stappen te hebben ondernomen om het risico op verdere ongeoorloofde toegang te verkleinen. De eerste bekendmaking van de luchtvaartmaatschappij gaf aan dat verificatiecodes nodig zijn voordat gebruikers hun accountadres wijzigen als onderdeel van de beveiligingsmaatregelen. Het heeft zich niet publiekelijk uitgesproken over de beweringen van Everest over de omvang van de gegevens of de losgeldeis.
Het incident benadrukt de risico’s waarmee luchtvaartmaatschappijen worden geconfronteerd die afhankelijk zijn van leveranciers en externe dienstverleners voor het beheren van reserverings- en communicatiesystemen. Beveiligingsanalisten merken op dat aanvallen op deze partners grote hoeveelheden gevoelige gegevens kunnen blootleggen, zelfs als de eigen systemen van de luchtvaartmaatschappij voldoen aan de beveiligingsnormen. Zij adviseren passagiers voorzichtig te zijn met onverwachte e-mails met betrekking tot boekingen en communicatie via officiële kanalen te verifiëren in plaats van links die via ongewenste berichten worden verzonden.