Банда программ-вымогателей Everest утверждает, что взломала системы испанской авиакомпании Iberia и извлечла 596 ГБ внутренних данных авиакомпании. Группа разместила заявление на своём сайте утечки и заявила, что требует выкуп в размере 6 миллионов долларов США, чтобы предотвратить публикацию или продажу материалов. Согласно сообщениям, опубликованные выборки включают имена клиентов, контактные данные, даты рождения, информацию о бронировании, данные по замаскированной платежной карте и маркетинговые профили. Злоумышленники также заявляют, что получили 430 ГБ электронных почтовых файлов, которые, по сообщениям, содержат более пяти миллионов записей, связанных с бронированием авиабилетов.
Группа также утверждает, что сохраняет долгосрочный доступ к системам Iberia и может просматривать и изменять данные о бронировании. Согласно публикации об утечке, злоумышленники утверждают, что в наборе данных есть полные истории бронирования, личные идентификаторы и журналы коммуникации, связанные с бронированием пассажиров. Эти утверждения не были независимо проверены, и Iberia не подтвердила, является ли весь объём описанных данных подлинным.
Iberia ранее связывала инцидент с утечкой у стороннего поставщика и заявила, что данные для входа и полная платёжная информация не были раскрыты. Авиакомпания заявила, что имена клиентов, идентификаторы карт лояльности и адреса электронной почты могли быть скомпрометированы. Масштаб данных, которые сейчас претендует Everest, кажется значительно больше, чем авиакомпания признавала изначально. Наличие обширных записей о бронировании даёт возможность того, что злоумышленники имели доступ к системам с более широкими привилегиями, чем те, что описаны в первоначальном раскрытии авиакомпании.
Исследователи безопасности, изучавшие опубликованные образцы, заявили, что материалы соответствуют данным, часто хранящимся в системах бронирования авиакомпаний. Файлы электронной почты таких систем могут содержать данные о рейсах, информацию о пассажирах, обновления бронирования и частичные платежные записи. Если данные подлинны, он может представлять значительные риски для пострадавших путешественников. Злоумышленники могут использовать эту информацию для мошеннических изменений бронирования, кражи личных данных, фишинга или целенаправленных мошеннических атак. Публичный выпуск редактируемой информации о бронировании также может способствовать злонамеренным изменениям в рейсах или попыткам злоупотребления сохранёнными финансовыми идентификаторами.
Эверест предупредил, что публикация полного набора данных приведёт к масштабным потрясениям и потенциальному вреду пассажирам. Группа часто использует такие угрозы для усиления давления на жертв в переговорах о выкупе. Аналитики по кибербезопасности заявили, что если бы злоумышленники имели долгосрочный доступ, они могли бы собрать данные, превышающие доступные данные.
Iberia заявила, что активировала процедуры реагирования на инциденты, уведомила правоохранительные органы и предприняла меры, направленные на снижение риска дальнейшего несанкционированного доступа. В первоначальном раскрытии информации авиакомпании было указано, что для смены адресов электронной почты пользователями требуется наличие кодов верификации в рамках мер безопасности. Компания публично не комментировала заявления Everest о масштабе данных или требовании выкупа.
Этот инцидент подчёркивает риски, с которыми сталкиваются авиакомпании, зависящие от поставщиков и сторонних сервисов для управления системами бронирования и связи. Аналитики по безопасности отмечают, что атаки на этих партнёров могут раскрывать большие объёмы конфиденциальных данных, даже если системы авиакомпании сохраняют соответствие стандартам безопасности. Они советуют пассажирам быть осторожными с неожиданными письмами, связанными с бронированием, и проверять коммуникацию через официальные каналы, а не через ссылки, отправленные в нежелательных сообщениях.