La compagnia aerea britannica low cost EasyJet ha reso noto di aver subito un attacco informatico “altamente sofisticato” che ha compromesso i dati personali di circa 9 milioni di clienti. Gli hacker hanno avuto accesso agli indirizzi e-mail e ai dettagli del viaggio e, in un numero limitato di casi, 2.208 persone, ai dati della carta di credito dei passeggeri, ha affermato la società in un comunicato. Già molto indebolita dal pandemia di coronavirus, la compagnia aerea sta operando di concerto con l’Information Commissioner’s Office britannico e con il National Cyber Security Centre. Tutti i clienti coinvolti verranno contattati nei giorni a venire. In caso di mancato contatto da parte del gruppo, significa che i dati del cliente non sono stati violati dagli hacker, si legge in un comunicato. EasyJet si è scusata per l’episodio e precisa che al momento non vi sono indicazioni su un uso improprio dei dati trafugati. “Disponiamo di solide misure di sicurezza per proteggere i nostri clienti”, ha affermato l’amministratore delegato di EasyJet, Johan Lundgren. “Da quando si è verificato questo episodio, è diventato chiaro che a causa della pandemia di Covid-19 c’è una accresciuta preoccupazione sull’abuso dei dati personali per effettuare truffe online”. Chi c’è dietro l’attacco? “Non avendo dettagli tecnici possiamo fare solo ipotesi, come quelle di Magecart e degli hacker cinesi.” Entrambi gli scenari sono plausibili, secondo l’ingegner Pierluigi Paganini, Cto di Cybaze. Un’analisi preliminare da parte dell’esperto suggerisce alcune piste. “La prima cosa che salta agli occhi è il gran numero di clienti coinvolti, circa 9 milioni, ed il numero relativamente piccolo di dati relativi a carte di pagamento esposte, circa 2200. La presenza dei dati relative alle carte di pagamento ed il relativo cvv, entrambi non cifrati, suggerisce un attacco di tipo Magecart ovvero un attacco in cui il sito dell’azienda viene compromesso mediante l’iniezione di un codice malevolo che ruba i dati dei clienti in fase di pagamento”. Un attacco molto simile a quello che coinvolse British Airways nel settembre 2018, ricorda Paganini, e che costò alla compagnia aerea una multa salatissima. Non va dimenticato che i ‘data breach’ che riguardano cittadini europei ricadono sotto le norme del Gdpr, il regolamento europeo per la tutela dei dati personali, il quale prevede multe che possono arrivare a 4% del fatturato dell’azienda se ritenuta responsabile della falla che ha dato origine all’hackeraggio. Poi ci sono fonti anonime citate dalla Reuters ed informate sull’investigazione in corso, che sospettano che la tecnica e gli strumenti utilizzati dagli attaccanti suggeriscano il coinvolgimento di un gruppo di hacker cinesi, che tra l’altro nei mesi scorsi aveva già preso di mira altre compagnie aeree. I rischi per gli utenti C’è l’ulteriore problema della protezione degli utenti coinvolti. “Purtroppo i clienti della compagnia aerea potrebbero essere obiettivo di attacchi di spear-phishing, ovvero di email confezionate ad hoc per indurre le vittime ad aprire un allegato malevolo oppure a cliccare su un link che potrebbe avviare un processo di infezione che spedisce le vittime su siti compromessi”, ricorda Paganini. La pandemia ha causato la cancellazione di migliaia di voli e anche questa occasione potrebbe fornire agli attaccanti ulteriori opportunità. Sottolinea ancora l’esperto: “Le mail preparate per gli utenti potrebbero contenere istruzioni per eventuali rimborsi a causa di annullamenti dovuti al lockdown in molti Paesi europei. Negli scorsi mesi sono state già individuate campagne di phishing che utilizzavano il tema Covid-19 promettendo rimborsi alle vittime”. Attenti ai dati La raccomandazione è quella di non fornire nessuna informazione personale, meno ancora finanziaria, in risposta a eventuali email ricevute nelle prossime settimane: potrebbe essere un tentativo di phishing. E’ importante non aprire allegati o cliccare su link presenti nel corpo dei messaggi e, casi di dubbi, essere proattivi e contattare la compagnia aerea attraverso canali ufficiali.
