A gangue de ransomware Everest afirma ter invadido os sistemas da companhia aérea espanhola Iberia e extraído 596 GB de dados internos da companhia. O grupo publicou a alegação em seu site de vazamento e disse que está exigindo um resgate de USD 6 milhões para impedir a divulgação ou venda do material. Segundo relatos, as amostras publicadas incluem nomes de clientes, dados de contato, datas de nascimento, informações de reservas, dados de cartões de pagamento mascarados e perfis de marketing. Os atacantes também afirmam ter obtido 430 GB de arquivos de e-mail que supostamente contêm mais de cinco milhões de registros relacionados a reservas de voos.
O grupo ainda afirma que manteve acesso de longo prazo aos sistemas da Iberia e poderia visualizar e modificar os dados de reservas. De acordo com a publicação do vazamento, os atacantes dizem que o conjunto de dados inclui históricos completos de reservas, identificadores pessoais e registros de comunicação vinculados a reservas de passageiros. Essas afirmações não foram verificadas de forma independente, e a Iberia não confirmou se o volume total de dados descrito é genuíno.
A Iberia anteriormente atribuiu o incidente a uma violação em um fornecedor terceirizado e afirmou que as credenciais de login e as informações completas de pagamento não foram expostas. A companhia aérea afirmou que nomes de clientes, identificadores de cartão de fidelidade e endereços de e-mail podem ter sido comprometidos. A escala dos dados atualmente reivindicados pelo Everest parece significativamente maior do que o que a companhia aérea inicialmente reconheceu. A presença de registros extensos de reservas levanta a possibilidade de que os atacantes tivessem acesso a sistemas com privilégios mais amplos do que aqueles descritos na divulgação original da companhia aérea.
Pesquisadores de segurança que analisaram as amostras publicadas disseram que o material parece consistente com dados frequentemente armazenados pelos sistemas de reservas aéreas. Arquivos de e-mail desses sistemas podem conter detalhes de voos, informações de passageiros, atualizações de reservas e registros parciais de pagamento. Se for autêntico, o conjunto de dados pode apresentar riscos notáveis para os viajantes afetados. Os atacantes podem usar as informações para alterações fraudulentas de agendamento, roubo de identidade, phishing ou golpes direcionados. A divulgação pública de informações de reserva editáveis também pode permitir alterações maliciosas em voos ou tentativas de uso indevido de identificadores financeiros armazenados.
Everest alertou que a divulgação do conjunto de dados completo causaria ampla perturbação e possíveis danos aos passageiros. O grupo frequentemente usa essas ameaças para aumentar a pressão sobre as vítimas nas negociações de resgate. Analistas de cibersegurança disseram que, se os atacantes tivessem acesso de longo prazo, poderiam ter conseguido capturar dados além do que foi divulgado até agora.
A Iberia afirmou que ativou procedimentos de resposta a incidentes, notificou as autoridades policiais e tomou medidas para reduzir o risco de novos acessos não autorizados. A divulgação inicial da companhia aérea indicou que exige códigos de verificação antes que os usuários mudem o endereço de e-mail da conta como parte de suas medidas de segurança. O país não comentou publicamente as alegações feitas pelo Everest sobre o alcance dos dados ou a exigência de resgate.
O incidente destaca os riscos enfrentados pelas companhias aéreas que dependem de fornecedores e provedores terceirizados para gerenciar sistemas de reservas e comunicação. Analistas de segurança observam que ataques a esses parceiros podem expor grandes volumes de dados sensíveis mesmo quando os próprios sistemas da companhia aérea permanecem em conformidade com os padrões de segurança. Eles aconselham os passageiros a terem cautela com e-mails inesperados relacionados a reservas e a verificar a comunicação por canais oficiais, em vez de links enviados em mensagens não solicitadas.