Fidye yazılımı çetesi Everest, İspanyol havayolu Iberia’nın sistemlerini ihlal ettiğini ve havayolundan 596 GB dahili veri çıkardığını iddia ediyor. Grup, iddiayı sızdırma sitesinde paylaştı ve materyalin yayımlanmasını veya satışını önlemek için 6 milyon USD fidye talep ettiğini açıkladı. Raporlara göre, yayımlanan örnekler arasında müşteri isimleri, iletişim bilgileri, doğum tarihleri, rezervasyon bilgileri, maskeli ödeme kartı verileri ve pazarlama profilleri yer alıyor. Saldırganlar ayrıca, uçuş rezervasyonlarıyla bağlantılı beş milyondan fazla kayıt içerdiği bildirilen 430 GB e-posta dosyası ele geçirdiklerini belirtiyor.
Grup ayrıca Iberia’nın sistemlerine uzun vadeli erişimi elinde tuttuğunu ve rezervasyon verilerini görüp değiştirebileceğini iddia ediyor. Sızdırma gönderisine göre, saldırganlar veri setinin tam rezervasyon geçmişi, kişisel kimlikler ve yolcu rezervasyonlarıyla bağlantılı iletişim kayıtlarını içerdiğini söylüyor. Bu iddialar bağımsız olarak doğrulanmamıştır ve Iberia tanımlanan tüm veri hacminin gerçek olup olmadığını doğrulamamıştır.
Iberia daha önce olayı üçüncü taraf bir tedarikçide yaşanan bir ihlale bağlamış ve giriş bilgilerinin ve tam ödeme bilgilerinin açığa çıkarılmadığını belirtmişti. Havayolu, müşteri isimlerinin, sadakat kartı kimliklerinin ve e-posta adreslerinin ele geçirilmiş olabileceğini belirtti. Everest’in şu anda iddia ettiği verilerin ölçeği, havayolunun başlangıçta kabul ettiğinden çok daha büyük görünüyor. Kapsamlı rezervasyon kayıtlarının varlığı, saldırganların havayolunun orijinal açıklamasında tanımlananlardan daha geniş ayrıcalıklara sahip sistemlere erişimi olma ihtimalini artırıyor.
Yayınlanan örnekleri inceleyen güvenlik araştırmacıları, materyalin genellikle havayolu rezervasyon sistemleri tarafından saklanan verilerle uyumlu göründüğünü söyledi. Bu tür sistemlerden gelen e-posta dosyaları uçuş detaylarını, yolcu bilgilerini, rezervasyon güncellemelerini ve kısmi ödeme kayıtlarını içerebilir. Eğer gerçekse, veri seti etkilenen yolcular için kayda değer riskler oluşturabilir. Saldırganlar bu bilgileri sahte rezervasyon değişiklikleri, kimlik hırsızlığı, oltalama veya hedefli dolandırıcılıklar için kullanabilir. Düzenlenebilir rezervasyon bilgilerinin kamuya açık yayımlanması, uçuşlarda kötü niyetli değişikliklere veya saklanan finansal tanımlayıcıların kötüye kullanılmasına da olanak tanıyabilir.
Everest, tam veri setinin yayımlanmasının yaygın bir aksaklığa ve yolculara potansiyel zarar vereceği konusunda uyardı. Grup, bu tür tehditleri fidye müzakerelerinde mağdurlar üzerindeki baskıyı artırmak için sıkça kullanıyor. Siber güvenlik analistleri, saldırganların uzun vadeli erişimi olsaydı, şimdiye kadar yayımlananların ötesinde verileri yakalayabildiklerini söyledi.
Iberia, olay müdahale prosedürlerini aktive ettiğini, kolluk kuvvetlerini bilgilendirdiğini ve daha fazla yetkisiz erişim riskini azaltmak için adımlar attığını belirtti. Havayolunun ilk açıklamasında, kullanıcıların hesap e-posta adreslerini değiştirmeden önce güvenlik önlemleri kapsamında doğrulama kodları gerektiği belirtildi. Everest’in verilerin kapsamı veya fidye talebi ile ilgili iddiaları kamuoyuna açıklama yapmadı.
Bu olay, rezervasyon ve iletişim sistemlerini yönetmek için tedarikçilere ve üçüncü taraf hizmet sağlayıcılarına güvenen havayollarının karşılaştığı riskleri ortaya koyuyor. Güvenlik analistleri, bu ortaklara yönelik saldırıların, havayolunun kendi sistemleri güvenlik standartlarına uygun kalsa bile büyük miktarda hassas veriyi açığa çıkarabileceğini belirtiyor. Yolculara, rezervasyonlarla ilgili beklenmedik e-postalara karşı dikkatli olmaları ve iletişimi istenmeyen mesajlarla gönderilen bağlantılar yerine resmi kanallar üzerinden doğrulamaları tavsiye edilir.