EasyJet: ciberataque e fuga de dados
O setor do turismo é um dos alvos preferidos dos cibercriminosos. Na série de fugas de dados das companhias aéreas (British Airways em 2018 e Airbus, no início de 2019), a EasyJet não foi poupada.
O alerta foi emitido a 19 de maio. A companhia aérea low cost, vítima de um ciberataque «altamente sofisticado», alertou os seus clientes para os riscos associados ao phishing.
A EasyJet indicou ter «tomado conhecimento de uma atividade potencialmente invulgar no final de janeiro de 2020». E desencadeou imediatamente «uma investigação com o apoio de peritos forenses». Por fim, as investigações conduziram diretamente a este ciberataque contra a EasyJet.
De facto, foram consultados os dados de reservas de cerca de 9 milhões de clientes. De acordo com a investigação realizada em estreita colaboração com o Centro Nacional de Cibersegurança do Reino Unido, foram igualmente consultados os dados de cartões de crédito de 2 208 clientes.
No entanto, nada indica que essas informações tenham sido utilizadas ou divulgadas.
De acordo com o comunicado publicado no site da empresa, o ataque já está sob controlo e a segurança dos sistemas de informação foi reforçada.
Phishing, roubo de senhas… Quais são os riscos que os clientes correm?
Muitos dados, assim roubados por cibercriminosos, são particularmente procurados na Dark Web.
A título de exemplo, os dados de uma reserva incluem:
- o nome;
- o endereço de e-mail;
- o aeroporto de partida;
- o destino;
- a data de partida.
Informações extremamente valiosas para os hackers especializados em phishing, dispostos a lucrar com elas para levar a cabo as suas atividades ilícitas.
Desde abril, a companhia tem, portanto, alertado os seus clientes para o«risco acrescido de e-mails de phishing». De facto, muitas companhias aéreas estão fortemente expostas ao risco de ciberataques por e-mail. (fonte: L’Echo Touristique).
A EasyJet contactou ainda o ICO (Information Commissioner’s Office, ou Gabinete do Comissário de Informação), equivalente à CNIL francesa, para os informar do incidente. O ICO está, de facto, habilitado a aplicar multas em caso de violação do RGPD, tal como aconteceu com os Hotéis Marriott em 2018.
Por fim, a EasyJet recomenda também que se tenha cuidado com assenhas. Com efeito, em caso de ciberataque, é altamente recomendável redefinir as senhas para evitar que um grupo de piratas informáticos as roube e se aproprie das identidades e contas dos utilizadores.
