Air Europa heeft meer details prijsgegeven over de cyberaanval die vorig jaar oktober plaatsvond. Volgens de Spaanse luchtvaartmaatschappij zijn er bij de aanval ook persoonlijke gegevens van klanten gestolen. Eventuele problemen als gevolg van de datadiefstal zijn volgens de luchtvaartmaatschappij ‘beperkt’.
Dat schrijft Air Europa in een e-mail aan klanten, aldus The Wall Street Journal.
In oktober 2023 maakte Air Europa bekend dat het was getroffen door een cyberaanval. Onbevoegden waren erin geslaagd om toegang te krijgen tot het systeem dat betalingen van klanten verwerkt. Daardoor wisten de aanvallers de hand te leggen op betaalgegevens, waaronder creditcardnummers, vervaldata en CVV-codes,
Er waren geen signalen dat de gegevens waren misbruikt voor frauduleuze doeleinden, zoals phishing of identiteitsfraude. Wel verzocht de luchtvaartmaatschappij gedupeerden om alert te zijn op eventueel misbruik. Naar eigen zeggen wisten de hackers alleen betaalgegevens buit te maken en waren er geen andere gegevens gestolen.
Inmiddels zijn we bijna een half jaar verder en heeft Air Europa recentelijk een e-mail gestuurd met daarin een update over het voorval. De luchtvaartmaatschappij zegt daarin dat er bij het beveiligingsincident naast betaalgegevens ook persoonlijke gegevens zijn gecompromitteerd. Het gaat om namen, geboortedata, nationaliteit, telefoonnummers en gegevens van identiteitsbewijzen en paspoorten.
Air Europa zegt geen bewijs te hebben dat de gegevens zijn misbruikt voor fraude. “Als dat toch zou gebeuren, zou het daaruit voortvloeiende ongemak in ieder geval beperkt zijn”, zo zegt de luchtvaartmaatschappij in de e-mail aan betrokkenen.
De uitspraak doet ons denken aan de cyberaanval op EasyPark. In december 2023 maakte het bedrijf bekend dat het slachtoffer was geworden van een cyberaanval. Daarbij werden persoonlijke gegevens van een onbekend aantal klanten gestolen, waaronder namen, telefoonnummers, woonadressen en e-mailadressen. Ook wisten de aanvallers de hand te leggen op enkele cijfers van IBAN- en creditcardnummers en gehashte wachtwoorden.
“Geen enkele combinatie van deze gestolen gegevens kan worden gebruikt om betalingen uit te voeren”, zo stelde EasyPark. De ontwikkelaar van de parkeer-app bestempelde bovendien de gestolen gegevens als ‘niet-gevoelige klantdata’. Experts hadden het idee dat EasyPark daarmee het datalek bagatelliseerde. Onder meer ethisch hacker Sijmen Ruwhof waarschuwde dat de buitgemaakte gegevens gebruikt konden worden om realistische phishingmails mee te versturen.
Ondanks deze waarschuwing hield EasyPark stug vol dat er geen gevoelige gegevens waren buitgemaakt. “De gegevens waartoe toegang is verkregen, worden volgens de EU-regelgeving niet als gevoelig beschouwd en we willen benadrukken dat er geen parkeergegevens met betrekking tot locatie, voertuigregistratie of parkeersessies zijn blootgesteld”, aldus het bedrijf in een reactie.
