Hackerata Easy Jet: 9 milioni di account rubati

La compagnia aerea low-cost britannica EasyJet ha ammesso oggi di essere stata vittima di un cyber-attacco, che ha definito "altamente sofisticato", esponendo indirizzi e-mail e dettagli di viaggio di circa 9 milioni di clienti. In una dichiarazione ufficiale rilasciata ieri (19 Maggio), EasyJet ha confermato che dei 9 milioni di utenti interessati, un piccolo sottoinsieme di clienti, ovvero 2.208 clienti, si è visto rubare anche i dati della carta di credito, anche se non è stato possibile accedere ai dati del passaporto. La compagnia aerea non ha rivelato con precisione come è avvenuta la violazione, quando è avvenuta, né quando è stata scoperta.

Restano quindi ancora offuscati i dettagli del come i criminal hacker siano riusciti ad accedere senza autorizzazione alle informazioni private dei clienti della seconda compagnia europea per numero di passeggeri trasportati e per quanto tempo hanno abbiano avuto accesso ai sistemi. Tuttavia, EasyJet ha assicurato ai suoi utenti che la compagnia ha chiuso l'accesso non autorizzato in seguito alla scoperta e che non ha trovato alcuna prova che le informazioni personali di qualsiasi natura siano state utilizzate in modo improprio dagli aggressori.

EasyJet ha anche informato l'Information Commissioner's Office (ICO), l'agenzia britannica per la protezione dei dati, e continua a indagare sull'incidente per determinare la sua portata e migliorare ulteriormente il suo ambiente di sicurezza. Come misura precauzionale raccomandata dall'ICO, la compagnia aerea ha iniziato a contattare tutti i clienti i cui dati di viaggio e della carta di credito sono stati consultati nella violazione per consigliare loro di essere "estremamente vigili, soprattutto se ricevono comunicazioni non richieste".

Non è la prima volta che le compagnie aree del Regno Unito finiscono nel mirino dei criminal hacker, l'anno scorso, l'ICO ha multato British Airways con un'ammenda di 183 milioni di sterline per non aver protetto le informazioni personali di circa mezzo milione di clienti durante un Data Breach del 2018.

Cosa rischiano i passeggeri colpiti?

Uno degli attacchi preferiti dai Criminal hacker, una volta sottratte le credenziali è quello del Credential Stuffing. Il Credential Stuffing è molto popolare in quanto si tratta di uno dei più semplici exploit da portare a termine. Con questa tecnica, l’attaccante raccoglie le credenziali trapelate (come nel caso di EasyJet) e le applica a una serie di altri account della vittima prescelta, sperando che la stessa combinazione di account/password sia stata utilizzata in altri account per prenderne il controllo. Sfortunatamente la maggior parte degli utenti, grazie al proliferare di portali online e servizi simili, hanno la brutta abitudine di riutilizzare le proprie credenziali, cosa su cui contano molto i Criminial Hacker – motivo per il cui la tecnica è molto efficace. E non si tratta neppure di un attacco che richiede skill particolarmente avanzate. Anzi, criminali con pochissima – o addirittura nessuna – esperienza informatica, grazie a software appositi, possono controllare e incrociare le credenziali di accesso di milioni di utenti rispetto a centinaia di siti web e servizi online come Netflix e Spotify in pochi minuti.

Inoltre, i clienti di EasyJet interessati dal Data Breach, dovrebbero essere sospettosi delle e-mail di phishing, che di solito sono un'altra delle tecniche predilette dei criminali informatici per indurre gli utenti a fornire ulteriori dettagli dei loro conti, come password e informazioni bancarie.