A companhia aérea espanhola Iberia notificou os clientes que um fornecedor teve acesso não autorizado aos seus sistemas, resultando na exposição de informações limitadas dos clientes. A companhia aérea afirmou que os dados afetados incluem nomes, endereços de e-mail e números de identificação de programas de fidelidade vinculados às contas do Iberia Club. A Iberia afirmou que não houve informações de pagamento, senhas ou credenciais de login envolvidas. A empresa afirmou que ativou seu processo de resposta a incidentes após tomar conhecimento do problema e está trabalhando com o fornecedor para determinar como a violação ocorreu e se algum dado adicional foi acessado.
A divulgação ocorreu após o surgimento de uma postagem em um fórum online que alegava oferecer material roubado ligado à Iberia. Pesquisadores observaram que o post fazia referência a dezenas de gigabytes de dados, incluindo documentos técnicos e arquivos internos. A declaração da Iberia focou apenas nas informações de contato dos clientes e nos identificadores de fidelidade, o que sugere que as alegações mais amplas feitas online podem não corresponder à exposição confirmada. Analistas disseram que a presença de dados de manutenção ou engenharia não relacionados no post do fórum cria incerteza sobre a extensão e relevância do material. A verificação dependerá de como os sistemas do fornecedor foram configurados e quais dados eles armazenaram.
Observadores do setor afirmaram que o caso reflete uma tendência crescente em que as companhias aéreas são afetadas por meio de seus fornecedores, e não por violações diretas. As companhias aéreas mantêm grandes redes de fornecedores responsáveis por ferramentas de reserva, plataformas de fidelidade, operações de manutenção e serviços de informação. Qualquer comprometimento nessas redes pode permitir que atacantes acessem dados dos clientes mesmo que os sistemas centrais da companhia aérea permaneçam intactos. Especialistas em segurança disseram que ambientes complexos de fornecedores frequentemente dependem de permissões de acesso interligadas, o que pode ser difícil de auditar e proteger.
A Iberia aconselhou os clientes a ficarem atentos a tentativas de phishing que façam referência a números de fidelidade ou atividades recentes de viagem. A exposição de endereços de e-mail e identificadores pode permitir mensagens fraudulentas que pareçam credíveis. Especialistas em segurança recomendam que os usuários revisem a atividade das contas de fidelidade, atualizem senhas e tratem as comunicações não solicitadas com cautela. Eles também sugerem habilitar etapas adicionais de verificação para contas online sempre que possível.
O incidente se soma a uma série de eventos de segurança que afetaram empresas de aviação durante o último ano. O setor lida com dados pessoais extensos, informações de viagem e documentos operacionais, todos os quais podem ser valiosos para os atacantes. Analistas disseram que o caso Iberia reforça a necessidade das companhias aéreas revisarem as práticas de segurança dos fornecedores e garantirem que mantenham controles rigorosos. Embora a Iberia não tenha confirmado quantos clientes foram afetados ou quando ocorreu a invasão, a investigação continua em andamento.