L’aerolínia diu no tenir constància que el furt de dades s’hagi usat per cometre cap mena de frau.

La matinada passada, Air Europa va notificar un incident de seguretat informàtica mitjançant el qual es van exposar dades de targetes de crèdit d’un nombre indeterminat de clients de la companyia. L’aerolínia pertanyent a Globalia, que es troba actualment sota el procés de compra per part d’IAG, no ha proporcionat detalls específics sobre l’abast de la violació de dades bancàries ni ha precisat la data de l’ocurrència dels fets.

Els clients afectats han rebut una comunicació per part de la companyia en què se’ls alerta del problema i se’ls recomana cancel·lar la targeta de crèdit utilitzada per fer les compres dels vols. S’assenyala que, en principi, els passatgers que no hagin rebut el missatge no haurien de prendre mesures per cancel·lar les seves targetes.

Sembla que la vulnerabilitat de seguretat cibernètica ha impactat en la plataforma de pagaments emprada per la companyia per processar les transaccions dutes a terme a través del seu lloc web. Aquest incident ha exposat informació com el número de les targetes bancàries, la data de caducitat i el codi de seguretat (CVV). No obstant això, Air Europa ha especificat que aquestes dades no estan vinculades al nom dels clients. Segons la companyia, l’atac va ser detectat ràpidament, fet que va permetre l’aplicació immediata dels protocols de seguretat establerts, evitant així la filtració de més dades. En aquest sentit, es pot confirmar que el sistema ja es troba operatiu amb normalitat des d’ahir al matí.

En el correu electrònic remès als usuaris, es fa referència al “possible risc d’usurpació de targetes i frau” relacionat amb aquest incident, i s’ofereixen recomanacions específiques. En primer lloc, s’aconsella als afectats identificar la targeta de crèdit utilitzada per fer les compres en el lloc web de l’aerolínia. A més a més, es demana contactar amb l’entitat bancària per sol·licitar la cancel·lació o la substitució de la targeta amb l’objectiu de prevenir possibles usos fraudulents de la informació associada. El correu també insta a recopilar qualsevol evidència que indiqui un possible ús no autoritzat de la targeta i a presentar una denúncia davant les autoritats competents.

L’OCU demana una recerca a l’Agència Espanyola de Protecció de Dades

L’Associació d’Usuaris Financers (Asufin) va recomanar als clients que hagin pogut veure’s afectats que actuïn amb diligència i cancel·lin com més aviat millor la targeta. En la seva opinió, el ciberatac cap a la companyia ha pogut tenir com a objecte el xantatge però no es descarta que les dades sostretes hagin estat venudes en la denominada “dark web”, per la qual cosa les possibilitats de ser objecte de frau i sostracció de fons es multiplica.

L’Organització de Consumidors i Usuaris (OCU) ha sol·licitat a l’Agència Espanyola de Protecció de Dades (AEPD) que dugui a terme una investigació sobre l’incident. Aquesta petició es fonamenta en la possibilitat que l’atac hagi tingut lloc molt abans que es notifiqués.És per això que cal destacar que Air Europa ja va ser sancionada en el passat per una gestió deficient d’un incident similar ocorregut el 2018. En aquell cas, es van veure afectats 489.000 clients, i la companyia va comunicar les incidències amb quaranta-un dies de retard, en contraposició a la legislació espanyola que exigeix una notificació dins de les 72 hores següents a la detecció de l’incident.

Tot i que encara no s’han obtingut els resultats de la investigació, Luis Corrons considera que “hi ha tots els indicis que s’està tractant d’un atac de tipus formjacking, també conegut com Magecart o web skinning. “Els atacants introdueixen codi maliciós al lloc web, el qual captura i transmet les dades de les targetes de crèdit a un servidor controlat pels atacants. A més, afegeix que aquest tipus d’atac ha afectat nombroses empreses i ha posat en perill dades sensibles dels consumidors en els darrers anys, essent un dels casos més sonats l’atac patit per una altra companyia aèria, British Airways.

Què fer si s’ha adquirit un bitllet d’Air Europa?

L’incident de seguretat cibernètica que ha patit Air Europa ha posat en perill les dades bancàries dels seus clients, ha generat una gran preocupació entre els afectats. La mateixa companyia ha comunicat que els ciberdelinqüents han enfocat el seu atac cap a l’entorn de pagaments utilitzat per processar les compres a través del lloc web. En cas de ser afectat, a continuació es detallen les mesures a prendre.

En primer lloc, i en concordança amb les indicacions de l’empresa emeses en un comunicat oficial i subratllades per l’Organització de Consumidors i Usuaris (OCU), esdevé crucial establir comunicació amb l’entitat bancària corresponent amb l’objectiu de procedir a la cancel·lació de les targetes de crèdit que van ser emprades per la compra dels tiquets.

D’altra banda, l’expert de l’empresa Avast, Luis Corrons, també ha indicat la importància de verificar els extractes bancaris per assegurar-se que no s’han dut a terme operacions fraudulentes. En cas d’identificar alguna transacció de tal naturalesa, es recomana establir contacte tant amb l’entitat emissora de la targeta com amb les autoritats corresponents per presentar la denúncia corresponent.

Amb la finalitat de reforçar la seguretat després de l’atac, així com la transparència en la difusió de la informació, l’Associació Espanyola de Consumidors ha instat Air Europa a informar directament i immediatament als usuaris afectats. Això s’ha demanat atesa la preocupació que una comunicació genèrica no arribi a tots els afectats.