A plataforma espanhola de fidelidade Travel Club está enfrentando um incidente de ransomware relatado atribuído ao grupo de ransomware Everest. A plataforma é operada pela Air Miles España e amplamente utilizada em todo o país como um programa de pontos conectado a grandes varejistas e parceiros de viagem. De acordo com informações publicadas pelos atacantes, o incidente envolve o suposto roubo de 131GB de dados que contêm milhões de registros de clientes. Os dados apresentados no anúncio do vazamento incluem nomes, endereços de e-mail, identificadores de conta, detalhes demográficos e informações relacionadas à atividade do programa de fidelidade. A Everest declarou que está buscando pagamento da empresa e estabeleceu uma contagem regressiva para uma resposta.
Pesquisadores que analisaram as postagens dos atacantes disseram que as evidências incluíam uma captura de tela de um arquivo CSV que lista nomes completos e endereços de e-mail. Embora isso não confirme a extensão total da violação, a amostra é consistente com o tipo de dados normalmente armazenados por plataformas de fidelidade com grandes bases de clientes. O Travel Club conta com mais de seis milhões de membros na Espanha e colabora com marcas como Repsol, Eroski e Iberia. Essas parcerias permitem que os clientes ganhem pontos por meio de compras em diferentes setores. A escala desses relacionamentos significa que uma violação pode afetar não apenas os usuários finais, mas também parceiros corporativos que dependem de serviços compartilhados de marketing e análise.
Reivindicação de resgate e táticas de grupo
O grupo do Everest é conhecido pelo que analistas descrevem como uma abordagem de dupla extorsão. Nesse modelo, os atacantes extraem dados antes de tentarem interromper sistemas por meio de criptografia. Eles pressionam as vítimas ameaçando divulgar as informações roubadas caso o pagamento não seja feito. Essa tática aumenta o risco de danos à reputação, pois as organizações afetadas enfrentam tanto danos operacionais quanto o risco de dados sensíveis serem divulgados. O grupo está ativo desde pelo menos 2021 e já foi associado a incidentes anteriores envolvendo empresas de telecomunicações, varejo de vestuário e serviços empresariais.
No caso do Travel Club, a Everest afirmou que os dados exfiltrados incluíam milhões de entradas de clientes. Se for preciso, isso representaria um grande acervo de informações pessoais que poderiam ser mal utilizadas em campanhas de phishing direcionadas ou esquemas de coleta de credenciais. Grandes plataformas de fidelidade são alvos frequentes porque mantêm registros detalhados do comportamento dos clientes, informações de contato e atividades transacionais. Essa combinação de tipos de dados pode ser lucrativa para os atacantes e também pode apoiar novas tentativas de fraude contra indivíduos.
A Air Miles España não emitiu uma declaração formal sobre o incidente no momento da denúncia. A falta de confirmação deixa em aberto dúvidas sobre o impacto operacional na plataforma e se algum sistema interno foi criptografado. As informações disponíveis vêm principalmente das alegações dos atacantes e de pesquisadores de segurança que revisaram o material que a Everest publicou online.
Possíveis consequências para clientes e parceiros
Analistas de segurança disseram que a violação provavelmente será alvo de escrutínio sob as regras europeias de proteção de dados se a exposição for verificada. Dados de programas de fidelidade frequentemente qualificados como informações pessoais, o que significa que violações podem acionar exigências de notificação e possíveis ações regulatórias. A confiança do cliente pode ser afetada se indivíduos se tornarem alvo de mensagens não solicitadas ou tentativas de phishing que fazem referência a informações pessoais precisas retiradas do conjunto de dados.
Empresas parceiras também podem enfrentar consequências indiretas. Varejistas e provedores de viagens que participam de campanhas de Clubes de Viagem frequentemente integram as interações com clientes com seus próprios sistemas de marketing. Se os dados de clientes vinculados a esses programas fossem vazados, isso poderia forçar os parceiros a reavaliar como gerenciam os dados promocionais e se precisam notificar seus próprios usuários sobre possíveis riscos.
Pesquisadores disseram que os clientes devem ficar atentos a contatos inesperados que alegem ter origem do Travel Club ou parceiros relacionados. Mensagens solicitando verificação de conta, redefinição de senha ou informações de pagamento devem ser tratadas com cautela. Indivíduos podem reduzir a probabilidade de fraude evitando links enviados por mensagens não solicitadas e confirmando a atividade da conta diretamente no site oficial.
A situação permanece instável, e a extensão da violação ficará mais clara se a Air Miles España fornecer uma atualização ou se os atacantes publicarem mais dados. Por enquanto, as alegações da Everest destacam o risco contínuo enfrentado pelos operadores de programas de fidelidade que mantêm grandes conjuntos de dados e atendem amplas redes de varejo.