Aggiornamento al fondo 

La compagnia aerea EasyJet ha denunciato di essere stata vittima di un "attacco informatico altamente sofisticato". Stando a quanto riportano le fonti, avrebbe comportato il furto dei dati di circa nove milioni di clienti. Di questi, 2.208 sono stati particolarmente sfortunati: i cyber criminali avrebbero avuto accesso anche ai dati delle carte di credito.

Secondo la BBC, l'azienda sarebbe venuta a conoscenza dell'attacco nel mese di gennaio. La priorità è stata contattare i possessori delle carte di credito. Questi clienti sono stati avvisati a inizio aprile. L'azienda ha informato gli enti competenti del Regno Unito e solo ora ha diffuso la notizia per avvisare tutti gli altri viaggiatori dell'accaduto.
Per la maggior parte dei clienti, infatti, le uniche informazioni sottratte sono gli indirizzi di posta elettronica. Probabilmente verranno impiegati per attacchi di phishing o rivenduti sul dark web. L'obiettivo ora è inviare una notifica a tutti gli interessati entro il 26 maggio.

Indagini e possibili multe

Nelle note ufficiali EasyJet chiarisce che al momento non risulta che le informazioni rubate siano state usate in modo improprio. L'ICO (Information Commissioner's Office) condurrà le dovute indagini per stabilire che cos'è accaduto ed eventualmente intraprendere azioni laddove necessario.

Sicuramente il tempismo di questo attacco è stato tremendo per EasyJet. La pandemia da coronavirus ha bloccato molti viaggi lasciando le compagnie aeree in difficoltà finanziarie. A questo ora si deve aggiungere un grave data leak, con tutte le difficoltà di gestione in una situazione di lockdown.

Le violazioni dei dati più devastanti del 21° secolo hanno interessato milioni di utenti. Ecco quelle più gravi della memoria recente.

Quello che è certo è che le compagnie aeree non sono un grande esempio di gestione dei dati. Basti ricordare che nel 2018 British Airways fu vittima di un furto di dati che interessò mezzo milione dei suoi clienti. Gli costò una multa di 183 milioni di sterline, per non parlare dei pagamenti delle indennità ai clienti, che potrebbero raggiungere i 3 miliardi di sterline.

EasyJet potrebbe seguire lo stesso destino. Ai sensi del GDPR, qualora emergesse che la compagnia ha gestito in modo errato i dati dei clienti, potrebbe essere comminata una multa fino al 4% del suo fatturato annuo mondiale.

I commenti degli esperti

David Emm, Principal Security Researcher di Kaspersky, scrive che "i dati rubati - compresi gli indirizzi e-mail, i dettagli della carta di credito e le informazioni di viaggio dei clienti – offriranno informazioni preziosissime ai cybercriminali. Coloro che sono stati colpiti dalla violazione dovrebbero evitare di rispondere ai messaggi non richiesti. È molto probabile che i criminali sfruttino la situazione per inviare messaggi di phishing con offerte del genere "troppo belle per essere vere".
Suggerisce inoltre di controllare regolarmente i propri conti bancari per verificare che non vi siano attività sospette. E di proteggere i propri dispositivi con software di sicurezza affidabili. Sollecita infine le persone a utilizzare password uniche e complesse per tutti gli account online. Laddove possibile, fare buon uso dell'autenticazione a due fattori.Andrew Tsonchev, Director of Technology di Darktrace, non è sorpreso "che le compagnie aeree continuino a essere bersagli appetibili. Particolarmente in un momento come questo, in cui il settore soffre problemi di natura finanziaria e legati alla riduzione della forza lavoro".

"Quanto accaduto oggi conferma la necessità per le aziende di affrontare la sfida della sicurezza investendo in innovazioni come l'IA. I team che si occupano della sicurezza da soli non saranno in grado di tenere il passo con la velocità e le tattiche sofisticate che oggi gli aggressori utilizzano”.

Aggiornamento

EasyJet ha comunicato ai nove mila clienti vittime di furto dei dati che, fra i dati rubati, c'erano anche gli itinerari di viaggio prenotati tra il 19 ottobre 2019 e il 4 marzo 2020. L'email ufficiale dell'azienda chiarisce che i cyber criminali non hanno avuto accesso ai dati dei passaporti, ma hanno potuto vedere il luogo di partenza e destinazione, le date, il numero di prenotazione e il costo del viaggio.