Air Europa, la terza compagnia aerea più grande della Spagna e membro dell’alleanza SkyTeam, ha avvertito i clienti lunedì di annullare le loro carte di credito dopo che gli aggressori hanno avuto accesso alle informazioni delle loro carte in una recente violazione dei dati.
La compagnia ha dichiarato in e-mail inviate agli individui interessati: “Vi informiamo che è stato recentemente rilevato un incidente di sicurezza informatica in uno dei nostri sistemi che consiste in un possibile accesso non autorizzato ai dati della vostra carta bancaria”. Air Europa ha assicurato di aver messo in sicurezza i propri sistemi e di aver effettuato le dovute notifiche alle autorità competenti e alle entità necessarie (AEPD, INCIBE, banche, ecc.).
I dettagli delle carte di credito esposti nella violazione includono numeri di carta, date di scadenza e il codice CVV a 3 cifre sul retro delle carte di pagamento. Air Europa ha anche avvertito i clienti interessati di chiedere alle loro banche di annullare le carte utilizzate sul sito web della compagnia aerea a causa del “rischio di falsificazione e frode della carta” e “per prevenire un possibile uso fraudolento”. Ai clienti è stato inoltre consigliato di non fornire le loro informazioni personali o i PIN delle carte a chiunque li contatti telefonicamente o via e-mail e di non aprire alcun link in e-mail o messaggi che li avvertano di operazioni fraudolente riguardanti le loro carte.
Il numero di clienti interessati dalla violazione dei dati rimane sconosciuto. La compagnia non ha ancora rivelato quanti dei suoi clienti sono stati colpiti dalla violazione dei dati, la data in cui i suoi sistemi sono stati violati e quando l’incidente è stato rilevato. Un portavoce di Air Europa non era disponibile per commenti quando è stato contattato da BleepingComputer.
Due anni fa, nel marzo 2021, l’Agenzia Spagnola per la Protezione dei Dati (DPA) ha anche multato Air Europa di €600.000 per violazioni del Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (GDPR dell’UE) e per aver notificato all’autorità di controllo sulla privacy della violazione dei dati più di 40 giorni dopo. La violazione dei dati del 2021 ha interessato circa 489.000 individui, con gli aggressori che hanno avuto accesso ai loro dettagli di contatto e ai dettagli del conto bancario (numeri di carta, date di scadenza e codici CVV) memorizzati in 1.500.000 record di dati. Mentre i criminali hanno utilizzato i dati di circa 4.000 carte bancarie in attività fraudolente, Air Europa ha classificato la violazione come un incidente a rischio medio e ha scelto di non informare gli individui interessati.