Tegola su EasyJet: milioni di dati personali sottratti a seguito di un data breach

L’ennesima breccia nei sistemi informatici di una società che gestisce milioni di dati. A farne le spese questa volta è EasyJet, compagnia di volo lowcost britannica, che ha subito un attacco informatico di alto livello, permettendo agli hackers di sottrarre i dati relativi alle credenziali di posta elettronica e le informazioni di viaggio di circa nove milioni di utenti.

Non solo, secondo i risultati delle indagini (ancora in corso) sono stati sottratti anche i dati delle carte di credito di oltre 2.200 utenti registrati.

 

L’intervento della compagnia

La compagnia ha dichiarato di aver fermato gli accessi non autorizzati e sta provvedendo a contattare i clienti, offrendo il necessario supporto. Certo è che una violazione di sicurezza di questa portata avrà delle conseguenze sanzionatorie gravi per la società, che come tante altre compagnie di volo si trova già a dover affrontare una crisi senza precedenti dovuta alla pandemia in corso, con tagli al personale e riduzione delle tratte.

 

Quali sono le informazioni a rischio

Le credenziali di posta elettronica, così come le informazioni di viaggio dei clienti, potrebbero essere vendute nel Dark Web, permettendo magari agli acquirenti di lanciare attacchi basati sullo spear-phishing, simulando cioè delle comunicazioni mail da parte di società contenenti link attraverso cui sottrarre denaro o installare malware nel dispositivo del malcapitato.

I dati delle carte di credito o meglio carte di debito con codice di sicurezza (c.d. cvv) stampato sul retro, potrebbero essere utilizzati per operazioni di trading online o scommesse, il che renderebbe complesso risalire all’utilizzatore di quei dati.

 

Quali le garanzie di protezione

Grazie alla direttiva PSD2[1], tuttavia, il livello di sicurezza nei pagamenti con carte oggi è molto più elevato. Il prestatore di servizi di pagamento deve applicare un’autenticazione forte – SCA (Customer strong authentication) tutte le volte in cui il cliente ha accesso al proprio conto online, per effettuare un pagamento elettronico o qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

Resta da capire se il prestatore di servizi di pagamento che ha emesso la carta si sia già adeguato alla nuova normativa, dal momento che l’European Banking Authority (EBA), ha concesso alle banche una proroga fino al dicembre del 2020 per adeguarsi.

Sarà ancor di più fondamentale la tempestività con cui EasyJet comunicherà a tutti i clienti l’avvenuta violazione e l’accuratezza delle informazioni per evitare frodi e tentativi di phishing.

 

[1] direttiva (UE) 2015/2366 del Parlamento Europeo e del Consiglio del 25 novembre 2015, pubblicata in Gazzetta Ufficiale dell’Unione Europea il 23 dicembre 2015.