Испанската авиокомпания обяви, неоторизиран достъп към система за обмен на информация, хоствана от външен доставчик, която е разкрила личните данни на някои от нейните клиенти. Според компанията компрометираната платформа не е свързана с летателните операции и следователно съдържанието ѝ е ограничено Безопасността на полетите не е засегната.
След откриването на инцидента, Iberia е информирала Обединен команден състав на Гражданската гвардия, AEPD и INCIBEи е започнала разследване, за да определи пълния мащаб на инцидента. Компанията се свързва поотделно със засегнатите и е внедрила допълнителни контролни мерки за намаляване на рисковете и предотвратяване на по-нататъшен неоторизиран достъп.
Какво се е случило и какви данни са били разкрити
Разследването сочи към външно хранилище за комуникации, което не е свързано с критичните системи на авиокомпанията. Iberia подчертава, че информацията, съхранявана в тази среда, е била ограничена и че Полетните операции и безопасността не са били компрометирани.
Компрометираните данни включват основни лични данни като имена и фамилии и в много случаи имейл адреси; в по-малка степен телефонни номера и идентификаторът на картата за лоялност биха били разкрити Иберийски клуб.
Компанията признава, че някои са били извлечени кодове за резервации от полети, които все още предстоят. Въпреки това, досега Няма доказателства за измамна дейност произлизащи от тази информация.
Иберия също настоява, че Пълните данни за методите на плащане не са разкрити нито данни за достъп до акаунт, така че рискът от незаконна употреба при финансови транзакции се счита за нисък.
Мерки, предприети от Iberia, и канали за подкрепа
За да защити управлението на резервациите, авиокомпанията е активирала двуфакторно удостоверяване (2FA) в приложението, уебсайта и телефонния канал, така че само притежателят може да променя или да преглежда пътуването си, дори ако е бил разкрит код за резервация.
Същевременно Iberia е започнала индивидуална комуникация със засегнатите и поддържа засилено наблюдение на тяхната технологична среда. Безплатният телефонен номер е активиран +34 900 111 500 да разреши съмнения и да се обърне внимание на всякакви проблеми или подозрения.
Основната препоръка е да се проявява изключително внимание при неочаквани съобщения, обаждания или формуляри, изискващи действия или лични данни от името на компанията, за да се избегнат опити за измама. ФишингНякои съобщения също така предлагат преглед на адреси за контакт, свързани с акаунта и помислете за актуализирането му, ако бъде открита аномална активност.
Иберия се извини за причиненото неудобство и заяви, че е влагайки в действие всички средства, с които разполагат да смекчат въздействието и да засилят техническия и организационния си контрол с доставчиците си.
По-голям обхват? Предполагаемата продажба на 77 GB в тъмната мрежа
Наред с потвърдения случай, специализирани медии съобщиха за предложението на 77 GB вътрешна документация Обявата, приписвана на Iberia за 150 000 долара във форуми в тъмната мрежа, твърди, че включва технически материали за самолети (напр. A320/A321), файлове за поддръжка и друга корпоративна документация.
Засега, този край Това не е потвърдено от IberiaКомпанията заявява, че анализира автентичността и обхвата на тези файлове и във всеки случай подчертава, че няма доказателства за въздействие върху операционните системи или излагане на чувствителни клиентски данни извън вече съобщеното външно хранилище.
Ако се потвърди, предполагаемото изтичане на информация би добавило рисков вектор от естество на индустриалната и интелектуалната собственост; към днешна дата обаче фокусът остава върху вече потвърден неоторизиран достъп и в защитата на засегнатите потребители.
Европейска рамка: задължения и отговорност с доставчиците
Инцидентът се вписва в нарастващата тенденция на атаки срещу верига за доставкикъдето доставчиците се превръщат във входна точка. Европейските разпоредби изискват засилване на тази връзка: GDPR (чл. 28) налага наемането само на обработващи лични данни с достатъчни гаранции и изискващи адекватни мерки за защита.
Директивата 2 шекели (Чл. 21) отива по-далеч и изисква управление на рисковете във веригата за доставки, поставяйки киберсигурността като отговорност на управителния орган и елемент от дължима грижа бизнес, не само технически.
В Испания рамката на Схемата за национална сигурност и задълженията за уведомяване на AEPD Съответните органи вече са установили протокол за реагиране. Iberia е докладвала инцидента на UCO, AEPD и INCIBE, в съответствие с изискванията на уведомяване на властите и сътрудничество.
Предварителната оценка показва неоторизиран достъп до външна система, ограничено излагане на данни и вече въведени мерки за ограничаване; компанията твърди, че Няма доказателства за измама и че Безопасността на полетите не е била застрашена, в очакване на приключване на разследването и изясняване на точките, които все още не са проверени.