EasyJet: gli hacker rubano i dati di 9 milioni di utenti
La pandemia globale ha avuto ripercussioni economiche importanti sulle compagnie aeree, le quali, oltre a dover fare i conti con la drastica riduzione dei guadagni, hanno visto incrementare il Cyber Risk. Ed è proprio quello che è successo ad EasyJet. La compagnia aerea britannica ha annunciato, infatti, di aver subito un sofisticato attacco informatico che ha compromesso i dati personali di 9 milioni di clienti. Gli hacker sono riusciti ad accedere agli indirizzi e-mail e ai dettagli del viaggio circa informazioni del luogo e la data di partenza, la destinazione di viaggio, il numero di riferimento della prenotazione, nonché la data e il valore della stessa; riuscendo, inoltre, ad entrare in possesso dei dati riguardanti le carte di credito, utilizzate per acquistare i biglietti, di 2.208 passeggeri.
Attraverso un comunicato ufficiale dell’azienda, Johan Lundgren, CEO di EasyJet, profondamente dispiaciuto per l’accaduto si è scusato pubblicamente affermando che: “la compagnia aerea prende molto sul serio la sicurezza informatica e adottiamo importanti misure di sicurezza per proteggere le informazioni personali dei nostri clienti. Tuttavia, si tratta di una minaccia che evolve man mano e gli attacchi informatici sono sempre più sofisticati. Da quando siamo venuti a conoscenza dell’incidente, è diventato chiaro che a causa del Covid-19 c’è una maggiore preoccupazione per i dati personali che possono essere utilizzati per le truffe online”.
L’attacco informatico potrebbe causare alla compagnia aerea low cost una multa salata; poiché il regolamento europeo per la tutela dei dati personali (GDPR) prevede che le aziende colpite da attacchi informatici possano essere multate fino al 4% del loro fatturato se vengono ritenute responsabili della “falla” che ha permesso l’hackeraggio. Due anni fa la compagnia di bandiera britannica British Airways, a causa di un Data Breach, che vide coinvolti i dati di 380.000 carte di credito – di cui 244.000 risultarono in effetti copiate – fu multata per 183 milioni di sterline dall’agenzia britannica per la protezione dei dati personali.
Subito dopo l’attacco informatico EasyJet ha iniziato a collaborare di concerto con l’Information Commissioner’s Office (ICO), ufficio incaricato della difesa dei diritti riguardanti le informazioni, e con il National Cyber Security Centre, responsabile del supporto alle aziende nella gestione degli attacchi informatici (l’equivalente del CSIRT italiano). La compagnia ha assicurato, inoltre, di aver contattato tutti i clienti coinvolti e di aver offerto supporto a coloro che hanno subito il furto relativo ai dati della carta di credito e del passaporto.
Uno dei rischi più grandi per i clienti che hanno subito il furto dei dati è quello di ricevere mail di phishing, sotto forma di false offerte da parte di EasyJet. A tal riguardo, il National Cyber Security Centre ha pubblicato alcune informazioni e consigli utili per tutti gli utenti che sospettano o hanno saputo di essere stati coinvolti nell’attacco. Innanzitutto, bisogna diffidare dalle e-mail che ci chiedono di rivelare dettagli relativi all’account e la password, occorre controllare sempre i link prima di cliccare (basta passare il mouse sul link per vedere se la fonte è riconoscibile), non aprire e-mail o allegati in caso di dubbio sulla fonte. Il NCSC raccomanda di cambiare la password dell’account e di utilizzarne una sicura. Inoltre, è possibile scoprire se il proprio account è apparso in altri Data Breach inserendo il proprio indirizzo e-mail sul sito haveibennpwned.com.