Het Spaanse loyaliteitsplatform Travel Club wordt geconfronteerd met een gemeld ransomware-incident dat wordt toegeschreven aan de ransomwaregroep Everest. Het platform wordt geëxploiteerd door Air Miles España en wordt in het hele land veel gebruikt als puntenprogramma verbonden met grote retailers en reispartners. Volgens informatie die door de aanvallers is gepubliceerd, betreft het incident de vermeende diefstal van 131GB aan gegevens die miljoenen klantgegevens bevatten. De gegevens die in de lekaankondiging worden gepresenteerd, omvatten namen, e-mailadressen, accountidentificaties, demografische gegevens en informatie die verband houdt met activiteit in het loyaliteitsprogramma. Everest verklaarde dat het betaling van het bedrijf wil en heeft een aftelling ingesteld voor een reactie.
Onderzoekers die de berichten van de aanvallers bekeken, zeiden dat het bewijs een screenshot bevatte van een CSV-bestand met volledige namen en e-mailadressen. Hoewel dit de volledige omvang van het datalek niet bevestigt, is de steekproef consistent met het type data dat doorgaans wordt opgeslagen door loyaliteitsplatforms met grote klantenbestanden. Travel Club heeft meer dan zes miljoen leden in Spanje en werkt samen met merken als Repsol, Eroski en Iberia. Deze samenwerkingen stellen klanten in staat punten te verdienen door aankopen in verschillende sectoren. De omvang van deze relaties betekent dat een datalek niet alleen eindgebruikers kan treffen, maar ook bedrijfspartners die afhankelijk zijn van gedeelde marketing- en analyse-diensten.
Losgeldclaim en groepstactieken
De Everest-groep staat bekend om wat analisten omschrijven als een dubbele afpersingsmethode. In dit model extraheren aanvallers gegevens voordat ze proberen systemen te verstoren via encryptie. Vervolgens zetten ze slachtoffers onder druk door te dreigen de gestolen informatie te publiceren als er geen betaling wordt gedaan. Deze tactiek vergroot de kans op reputatieschade omdat getroffen organisaties zowel operationele schade als het risico lopen dat gevoelige gegevens worden vrijgegeven. De groep is sinds minstens 2021 actief en is in verband gebracht met eerdere incidenten met bedrijven in telecommunicatie, kledinghandel en zakelijke diensten.
In de zaak Travel Club beweerde Everest dat de geëxfiltreerde gegevens miljoenen klantvermeldingen omvatten. Als het klopt, zou dit een aanzienlijke hoeveelheid persoonlijke informatie vertegenwoordigen die misbruikt kan worden in gerichte phishingcampagnes of credential-harvesting-schema’s. Grote loyaliteitsplatforms zijn veelvoorkomende doelwitten omdat ze gedetailleerde gegevens bijhouden van klantgedrag, contactinformatie en transactieactiviteiten. Deze combinatie van datatypes kan winstgevend zijn voor aanvallers en kan ook verdere fraudepogingen tegen individuen ondersteunen.
Air Miles España heeft op het moment van de rapportage geen formele verklaring afgelegd over het incident. Het ontbreken van bevestiging laat vragen open over de operationele impact op het platform en of interne systemen versleuteld waren. De beschikbare informatie komt voornamelijk uit de beweringen van de aanvallers en van beveiligingsonderzoekers die het materiaal dat Everest online plaatste hebben beoordeeld.
Mogelijke gevolgen voor klanten en partners
Beveiligingsanalisten zeiden dat de inbreuk waarschijnlijk onder Europese gegevensbeschermingsregels zal worden onderzocht als de blootstelling wordt geverifieerd. Gegevens van loyaliteitsprogramma’s kwalificeren vaak als persoonlijke informatie, wat betekent dat datalekken meldingsvereisten en mogelijke regelgevende maatregelen kunnen veroorzaken. Het vertrouwen van klanten kan worden aangetast als individuen doelwit worden van ongevraagde berichten of phishingpogingen die verwijzen naar accurate persoonlijke informatie uit de dataset.
Partnerbedrijven kunnen ook indirecte gevolgen ondervinden. Retailers en reisaanbieders die deelnemen aan Travel Club-campagnes integreren vaak klantinteracties met hun eigen marketingsystemen. Als klantgegevens die aan die programma’s gekoppeld zijn gelekt zouden worden, zou dat partners kunnen dwingen te heroverwegen hoe zij promotiedata beheren en of ze hun eigen gebruikers moeten informeren over mogelijke risico’s.
Onderzoekers zeiden dat klanten alert moeten zijn op onverwacht contact dat beweert afkomstig te zijn van Travel Club of aanverwante partners. Berichten waarin wordt gevraagd om accountverificatie, wachtwoordreset of betalingsinformatie moet met voorzichtigheid worden behandeld. Individuen kunnen de kans op fraude verkleinen door links die via ongeverzoekde berichten worden verzonden te vermijden en door accountactiviteit direct op de officiële site te bevestigen.
De situatie blijft veranderlijk, en de omvang van het lek zal duidelijker worden als Air Miles España een update geeft of als de aanvallers meer gegevens publiceren. Voorlopig benadrukken de claims van Everest het voortdurende risico waarmee exploitanten van loyaliteitsprogramma’s worden geconfronteerd die grote datasets beheren en brede retailnetwerken bedienen.