Det spanske flyselskapet har annonsert en uautorisert tilgang til et informasjonsutvekslingssystem som driftes av en ekstern leverandÞr som har eksponert personopplysningene til noen av kundene sine. IfÞlge selskapet er den kompromitterte plattformen ikke relatert til flyoperasjoner, og innholdet er derfor begrenset. Flysikkerheten har ikke blitt pÄvirket.
Etter Ä ha oppdaget hendelsen har Iberia informert UCO for Civil Guard, AEPD og INCIBEog har iverksatt en etterforskning for Ä fastslÄ det fulle omfanget av hendelsen. Selskapet kontakter de berÞrte individuelt og har iverksatt ytterligere kontrolltiltak for Ä redusere risikoer og forhindre ytterligere uautorisert tilgang.
Hva har skjedd og hvilke data har blitt eksponert
Etterforskningen peker mot et eksternt kommunikasjonslager, som ikke er koblet til flyselskapets kritiske systemer. Iberia understreker at informasjonen som var lagret i dette miljĂžet var begrenset, og at Flyoperasjoner og sikkerhet har ikke blitt kompromittert.
De kompromitterte dataene inkluderer grunnleggende personopplysninger som for eksempel navn og etternavn og i mange tilfeller e-postadresser; i mindre grad ville telefonnumre og lojalitetskortidentifikator ha blitt eksponert Iberia-klubben.
Selskapet erkjenner at noen har blitt utvunnet reservasjonskoder av flyvninger som fortsatt skal gjennomfÞres. Men sÄ langt Det finnes ingen bevis for uredelig aktivitet utledet fra den informasjonen.
Iberia insisterer ogsÄ pÄ at Fullstendige data om betalingsmÄter er ikke offentliggjort heller ikke kontotilgangsinformasjon, sÄ risikoen for ulovlig bruk i finansielle transaksjoner anses som lav.
Tiltak iverksatt av Iberia og stĂžttekanaler
For Ä sikre hÄndteringen av reservasjoner har flyselskapet aktivert en tofaktorautentisering (2FA) i appen, nettsiden og telefonkanalen, slik at bare innehaveren kan endre eller se reisen sin selv om en bestillingskode er blitt eksponert.
Samtidig har Iberia innledet individuell kommunikasjon med de berÞrte og opprettholder en forbedret overvÄking av deres teknologiske miljÞ. Gratisnummeret er aktivert +34 900 111 500 for Ä avklare tvil og ta opp eventuelle problemer eller mistanker.
Hovedanbefalingen er Ä utvise ekstrem forsiktighet med uventede meldinger, anrop eller skjemaer som ber om handlinger eller personopplysninger pÄ vegne av selskapet, for Ä unngÄ svindelforsÞk. phishingEnkelte meldinger foreslÄr ogsÄ Ä gjennomgÄ kontaktadresser knyttet til kontoen og vurder Ä oppdatere den hvis det oppdages unormal aktivitet.
Iberia har beklaget ulempene dette medfÞrer og opplyser at det er setter alle midler til rÄdighet ut i livet for Ä redusere virkningen og styrke sine tekniske og organisatoriske kontroller med leverandÞrene sine.
Mer rekkevidde? Det pÄstÄtte salget av 77 GB pÄ det mÞrke nettet
Parallelt med det bekreftede tilfellet har spesialiserte medier rapportert om tilbudet om 77 GB intern dokumentasjon OppfÞringen, som tilskrives Iberia for 150 000 dollar pÄ mÞrke nettfora, hevder Ä inkludere teknisk materiale for fly (f.eks. A320/A321), vedlikeholdsfiler og annen bedriftsdokumentasjon.
ForelÞpig, denne slutten Dette har ikke blitt bekreftet av IberiaSelskapet opplyser at de analyserer autentisiteten og omfanget av disse filene, og understreker uansett at det ikke finnes bevis for pÄvirkning pÄ operativsystemer eller eksponering av sensitive kundedata utover det eksterne arkivet som allerede er rapportert.
Hvis den pÄstÄtte lekkasjen bekreftes, vil den legge til en risikovektor av industriell og immateriell art. Imidlertid er fokuset forelÞpig fortsatt pÄ allerede bekreftet uautorisert tilgang og for Ä beskytte berÞrte brukere.
Europeisk rammeverk: forpliktelser og ansvar overfor leverandĂžrer
Hendelsen fÞyer seg inn i en Þkende trend med angrep pÄ forsyningskjededer leverandÞrer blir inngangspunktet. Europeiske forskrifter krever styrking av denne koblingen: GDPR (artikkel 28) pÄlegger at kun databehandlere med tilstrekkelige garantier og krav om tilstrekkelige beskyttelsestiltak skal ansettes.
direktiv 2 NOK (Art. 21) gÄr lenger og krever hÄndtering av risikoer i forsyningskjeden, plassering av cybersikkerhet som et ansvar for styringsorganet og et element av flid og debitering forretningsmessig, ikke bare teknisk.
I Spania gjelder rammeverket for den nasjonale sikkerhetsordningen og varslingspliktene til AEPD De relevante myndighetene har allerede etablert responsprotokollen. Iberia har rapportert hendelsen til UCO, AEPD og INCIBE, i samsvar med kravene i varsling til myndighetene og samarbeid.
Den forelÞpige vurderingen indikerer uautorisert tilgang til et eksternt system, begrenset dataeksponering og inneslutningstiltak som allerede er pÄ plass; selskapet hevder at Det finnes ingen bevis for svindel og at Flysikkerheten har ikke vÊrt i fare, i pÄvente av at etterforskningen er avsluttet og punktene som ennÄ ikke er bekreftet, er avklart.