أيبيريا تؤكد حدوث وصول غير مصرح به يؤثر على العملاء

  • الوصول غير المصرح به إلى مستودع مزود خارجي؛ لا يؤثر على عمليات الطيران.
  • عرض البيانات الأساسية: الاسم والبريد الإلكتروني والهاتف ورقم نادي إيبيريا؛ بدون كلمات مرور أو تفاصيل الدفع الكاملة.
  • تم استخراج بعض رموز الحجز، ولا يوجد دليل على وجود احتيال وتم تفعيل 2FA.
  • أبلغت شركة Iberia كل من UCO وAEPD وINCIBE وزودتهم بالرقم 900 111 500؛ ويجري تحليل إمكانية بيع 77 جيجابايت ولكن لم يتم تأكيدها.
Alberto Navarro

4 دقيقة

حادث أمني في إيبيريا

أعلنت شركة الطيران الإسبانية عن الوصول غير المصرح به إلى نظام تبادل معلومات مُستضاف من قِبل مُزوّد ​​خارجي كشف البيانات الشخصية لبعض عملائه. ووفقًا للشركة، فإن المنصة المُخترقة لا علاقة لها بعمليات الطيران، ومحتواها محدود، وبالتالي لم تتأثر سلامة الطيران.

بعد اكتشاف الحادث، أبلغت شركة إيبيريا UCO للحرس المدني و AEPD و INCIBEوبدأت تحقيقًا لتحديد حجم الحادث بالكامل. وتتواصل الشركة مع المتضررين بشكل فردي، وقد طبقت إجراءات رقابية إضافية للحد من المخاطر. منع المزيد من الوصول غير المصرح به.

إدارة الخصوصية على الشبكات الاجتماعية
المادة ذات الصلة:
إدارة الخصوصية على شبكات التواصل الاجتماعي: دليل شامل وعملي

ماذا حدث وما هي البيانات التي تم الكشف عنها

الوصول غير المصرح به إلى مورد إيبيريا

يشير التحقيق إلى وجود مخزن اتصالات خارجي، غير مرتبط بأنظمة شركة الطيران الحيوية. وتؤكد شركة إيبيريا أن المعلومات المخزنة في تلك البيئة كانت محدودة، وأن لم يتم المساس بعمليات الطيران والسلامة.

تتضمن البيانات المخترقة ما يلي: البيانات الشخصية الأساسية مثل الأسماء والألقاب، وفي كثير من الحالات، عناوين البريد الإلكتروني؛ وبدرجة أقل، أرقام الهواتف ومعرف بطاقة الولاء قد تكون معرضة للخطر نادي إيبيريا.

وتعترف الشركة بأنه تم استخراج بعضها رموز الحجز من الرحلات التي لا تزال قيد التنفيذ. ومع ذلك، حتى الآن لا يوجد دليل على وجود نشاط احتيالي مشتقة من تلك المعلومات.

وتصر أيبيريا أيضًا على أن لم يتم الكشف عن البيانات الكاملة حول طرق الدفع ولا تتطلب هذه البيانات بيانات اعتماد للوصول إلى الحساب، وبالتالي فإن خطر الاستخدام غير المشروع في المعاملات المالية يعتبر منخفضا.

الإجراءات التي اتخذتها شركة إيبيريا وقنوات الدعم

إجراءات الأمن ودعم العملاء في الخطوط الجوية الأيبيرية

لحماية إدارة الحجوزات، قامت شركة الطيران بتفعيل المصادقة الثنائية (2FA) في التطبيق والموقع الإلكتروني وقناة الهاتف، بحيث يمكن لحامل الرحلة فقط تعديل رحلته أو الاطلاع عليها حتى في حالة الكشف عن رمز الحجز.

وفي الوقت نفسه، بدأت شركة إيبيريا اتصالات فردية مع المتضررين وتحافظ على تعزيز المراقبة بيئتهم التكنولوجية. تم تفعيل رقم الهاتف المجاني +34 900 111 500 لحل الشكوك ومعالجة أي مشاكل أو شكوك.

التوصية الرئيسية هي توخي الحذر الشديد مع الرسائل أو المكالمات أو النماذج غير المتوقعة التي تطلب إجراءات أو بيانات شخصية نيابة عن الشركة، وذلك لتجنب محاولات الاحتيال. التصيدوتشير بعض الاتصالات أيضًا إلى مراجعة عناوين الاتصال المرتبطة بالحساب والنظر في تحديثه إذا تم اكتشاف أي نشاط غير طبيعي.

اعتذرت شركة الخطوط الجوية الأيبيرية عن الإزعاج الذي تسببت فيه وذكرت أنها وضع كل الوسائل المتاحة لهم موضع التنفيذ لتخفيف الأثر وتعزيز ضوابطهم الفنية والتنظيمية مع مورديهم.

هل هناك وصول أوسع؟ بيع 77 جيجابايت على الإنترنت المظلم

البيع المحتمل لبيانات إيبيريا الداخلية

إلى جانب الحالة المؤكدة، أفادت وسائل إعلام متخصصة عن عرض 77 جيجابايت من الوثائق الداخلية تزعم القائمة، المنسوبة إلى شركة إيبيريا مقابل 150.000 ألف دولار على منتديات الويب المظلم، أنها تتضمن مواد تقنية للطائرات (على سبيل المثال، A320/A321)، وملفات الصيانة، وغيرها من وثائق الشركة.

في الوقت الحالي، هذه النهاية لم يتم التحقق من ذلك من قبل شركة Iberiaوتقول الشركة إنها تقوم بتحليل صحة ونطاق هذه الملفات، وفي كل الأحوال، تؤكد أنه لا يوجد دليل على التأثير على أنظمة التشغيل أو تعرض بيانات العملاء الحساسة لما هو أبعد من المستودع الخارجي الذي تم الإبلاغ عنه بالفعل.

إذا تم تأكيد التسريب المزعوم، فإنه سيضيف ناقل خطر ذي طبيعة صناعية وفكرية؛ ومع ذلك، لا يزال التركيز حتى الآن على تم الاعتراف بالفعل بالوصول غير المصرح به وفي حماية المستخدمين المتضررين.

الإطار الأوروبي: الالتزامات والمسؤوليات تجاه الموردين

الأمن السيبراني وسلسلة التوريد في أوروبا

ويندرج الحادث في إطار الاتجاه المتزايد للهجمات على كادينا دي سومينيستروحيث يصبح الموردون نقطة الدخول. وتتطلب اللوائح الأوروبية تعزيز هذه الصلة: إذ يُلزم النظام العام لحماية البيانات (المادة 28) بتوظيف معالجين يتمتعون بضمانات كافية ويشترطون تدابير حماية كافية.

التوجيه NIS2 (المادة 21) تذهب إلى أبعد من ذلك وتتطلب إدارة مخاطر سلسلة التوريد، ووضع الأمن السيبراني كمسؤولية للهيئة الحاكمة وعنصر من عناصر العناية الواجبة الأعمال التجارية، وليس التقنية فقط.

في إسبانيا، إطار نظام الأمن الوطني والتزامات الإخطار تجاه اي بي دي وضعت السلطات المختصة بروتوكول الاستجابة. وأبلغت شركة إيبيريا بالحادثة إلى مكتب مراقبة السفن (UCO)، وهيئة مكافحة الفساد (AEPD)، وهيئة مكافحة الفساد (INCIBE)، وفقًا لمتطلبات إخطار للسلطات والتعاون.

يشير التقييم الأولي إلى وصول غير مصرح به إلى نظام خارجي، وتعريض محدود للبيانات، وتدابير احتواء مطبقة بالفعل؛ وتؤكد الشركة أن لا يوجد دليل على الاحتيال وأن لم تكن سلامة الطيران في خطروذلك في انتظار انتهاء التحقيق وتوضيح النقاط التي لم يتم التأكد منها بعد.