Испанският национален авиопревозвач Iberia е изправен пред една от най-сериозните си киберзаплахи. Групировката Everest, сред най-агресивните играчи в рансъмуер ландшафта, заяви, че е отговорна за пробив, при който са откраднати 596 GB вътрешни данни, включително над пет милиона .eml файлове с пълни детайли за резервации.

Атакуващите искат 6 млн. долара, като предупреждават, че при отказ от страна на Iberia информацията ще бъде продадена или публикувана, което би довело до „катастрофални последици за клиентите и компанията“.

Какво съдържа откраднатата информация

Според Everest масивът включва:

• Имена, контакти и дати на раждане

• Пълна информация за пътувания и резервации

• Маркетингови профили

• Маскирани данни за плащания

• Стотици гигабайти .eml съобщения

• Данни, позволяващи достъп до онлайн управление на полети

Най-тревожното твърдение гласи, че групата е имала „дългосрочен, неограничен достъп“ до резервационната система на Iberia, включително възможност за преглед и промяна на данните.

Това означава, че нападателите биха могли да влизат в резервации, използвайки само фамилия и код на резервация – стандартен механизъм, използван от авиокомпаниите.

Защо .eml файловете са толкова опасни

.eml файловете съдържат копия на имейли – а авиокомпаниите традиционно изпращат:

• референтни номера

• маршрути

• номера на полети

• лични данни на пътниците

• подробни инструкции за промяна на резервация

Според експертите, притежанието на тези файлове позволява реална намеса в пътническите резервации, включително промяна на полети, добавяне на услуги, анулиране или извличане на допълнителни чувствителни данни.

Iberia омаловажи инцидента, но мащабът е много по-голям

Преди седмица авиокомпанията информира клиентите си, че инцидентът е предизвикан от компрометиран доставчик и че „клиентските логин данни не са засегнати“.

Новата информация обаче разкрива значително по-сериозен сценарий, включващ много по-дълбок достъп и потенциално манипулиране на активни резервации.

Не е първият пробив, свързан с Iberia

Още през ноември друг хакер твърдеше, че продава 77 GB вътрешна техническа документация на Iberia, включително данни за самолети A320/A321 и вътрешни файлове за поддръжка.

Сегашният пробив на Everest обаче е много по-тежък, защото засяга клиентски данни, оперативни процеси и резервации в реално време – комбинация, която предоставя огромен изнудвачески потенциал.

Everest: тактиката е ясна – максимален натиск

Everest е активна от 2021 г. и е свързвана с атаки срещу Petrobras, Under Armour и дори AT&T през 2022 г.
Групата е известна с:

• дълбока инфилтрация

• кражба на големи бази данни

• изнудване и търговия на достъп

• минимални публични течове преди плащане

Според експертите текущият случай с Iberia следва същата схема, но с особеност – достъпът до резервационни системи предоставя безпрецедентна сила за натиск.

Какво следва за Iberia

Ако твърденията се потвърдят, авиокомпанията е изправена пред:

• риск от масови измами и фишинг кампании

• манипулиране на резервации в голям мащаб

• значителни регулаторни глоби

• огромни финансови загуби при отказ от плащане

• удар върху репутацията и доверието на клиентите

Към момента Iberia не е дала допълнителен коментар.