Home>News>Hot topics, Security & Cybercrime>Data breach in British Airways: hackerati i dati di 380 mila passeggeri

Data breach in British Airways: hackerati i dati di 380 mila passeggeri

I dati identificativi e gli strumenti di pagamento utilizzati da 380.000 passeggeri di British Airways sono stati acquisiti tramite un cyberattacco lanciato contro il sito web e l’app della compagnia aerea. L’incursione è iniziata il 21 agosto scorso (nel picco della stagione turistica) ed è durata due settimane.

La notizia è stata resa nota il 7 settembre scorso da un breve comunicato dell’Information Commitioner’s Office (ICO) in cui l’omologo britannico del nostro Garante Privacy dichiarava di esser stata informato del data breach e di aver avviato le relative indagini.

Trattasi del più grave attacco informatico ad un operatore del vecchio continente da quando siamo entrati nell’era Regolamento UE 2016/679 – GDPR; British Airways avrebbe comunicato la violazione entro le 72 ore da quando ne è venuta a conoscenza, scampando quantomeno il pericolo di vedersi comminata una multa per tardiva notificazione di data breach rispetto ai termini prescritti dall’art. 33 del GDPR. Questo non pone la compagnia al riparo da possibili sanzioni che potrebbero esser comminate a seguito delle indagini sui livelli di sicurezza dei sistemi IT: nel caso emergessero gravi carenze, si potrebbero attivare pesanti provvedimenti tenuto conto dei massimali del GDPR (4% del fatturato globale annuo: ossia oltre 500 milioni di euro, stando ai bilanci 2017 della compagnia).

British Airways, oltre ad aver pubblicato un annuncio di scuse sui maggiori quotidiani d’oltremanica, sta contattando (in ossequio agli obblighi di cui all’art. 34 GDPR) tutti gli acquirenti coinvolti ed ha approntato sul proprio sito una pagina web con informazioni utili per gli utenti. Tra queste risaltano:

  • la rassicurazione che non sono stati rubate dati concernenti viaggi prenotati e documenti di identità;
  • il suggerimento di contattare immediatamente la propria banca o fornitore di carta di credito per bloccare l’utilizzo fraudolento degli strumenti di pagamento;
  • l’avviso di diffidare di possibili contatti di phishing. Nel caso di specie, gli utenti dovranno ripudiare le e-mail che – fingendosi provenienti dal help desk della compagnia – richiedano il rilascio di informazioni personali o bancarie per poter ottenere risarcimenti.

British Airways dichiara che terrà indenni le vittime dell’attacco attraverso il monitoraggio gratuito del credito per 12 mesi (curato da società specializzate) cui seguirà la compensazione di qualsiasi danno finanziario subito per effetto della violazione di sicurezza. La compagnia rifonderà anche i costi di riemmissione delle carte violate.

Non è il primo data breach che colpisce il comparto dell’aviazione commerciale, e non sarà l’ultimo. Menzioniamo solo i più rilevanti degli ultimi mesi:

  • lo scorso aprile Delta Airlines rese noto (leggi qui) che i sistemi di un proprio partner commerciale – che fornisce sistemi di assistenza clienti basati sull’intelligenza artificiale – erano stati violati e che nomi, indirizzi ed estremi di pagamento di centinaia di migliaia di passeggeri erano stati potenzialmente compromessi;
  • a luglio un esperto di sicurezza norvegese dimostrò (leggi qui) come si potesse facilmente accedere online ai dati dei passeggeri della compagnia inglese Thomas Cook risalendo fino a database contenenti informazioni relative al 2013;
  • a fine agosto, Canada Airlines ha scoperto (leggi qui) che la sua app mobile era stata violata. I dati di 20.000 clienti (tra cui dati identificativi e di pagamento) erano stati rubati e oltre 1,5 milioni di utenti dell’app sono stati costretti a resettare in tutta fretta le proprie credenziali per non rischiare di finire anch’essi nella lista delle vittime.

Il caso British Airways inquieta. La compagnia non appare particolarmente virtuosa nella gestione dei propri sistemi informatici. Nel maggio 2017 (leggi qui) l’intera infrastruttura IT aeroportuale è crollata lasciando a piedi 75.000 passeggeri in un solo weekend. Da quel momento, per ben altre 13 volte diversi malfunzionamenti di natura informatica hanno creato enormi disagi ai viaggiatori con conseguenti danni di immagine e pesanti ricadute sul titolo in borsa.

Ad inizio 2018 avevamo commentato (leggi qui) il lancio da parte di British Airways di un sistema di imbarco biometrico basato sul riconoscimento facciale dei passeggeri. Vien da chiedersi se sia davvero il caso di consentire l’acquisizione dei template di milioni di volti di privati cittadini ad operatori che evidenziano ripetute problematiche di sicurezza e vulnerabilità agli attacchi esterni.

Ovviamente – al netto delle considerazioni su disagi aeroportuali, frodi finanziare o tutela della privacy dei viaggiatori – quando si parla di vulnerabilità dei sistemi informatici nel campo della aviazione civile, la prima preoccupazione rimane quella relativa alla sicurezza delle vite umane sospese a 10.000 metri di altezza.

Va chiarito che i citati inconvenienti informatici di British Airways non hanno riguardato la sicurezza degli aeromobili, ma è inevitabile che qualcuno incominci a domandarsi se i sistemi di volo siano davvero protetti anche alla luce del fatto gli aerei odierni sono vettori ad alta connettività, sia per quanto concerne i sistemi di controllo sia per che riguarda l’intrattenimento di bordo (la connessione wi-fi per passeggeri è ormai una dotazione ordinaria).

Gli aerei di linea sono delle enormi IoT colme di vite umane e – inevitabile pensarlo mentre scriviamo dacché oggi corrono 17 anni esatti dall’attacco a Twin Towers e Pentagono – potenzialmente sono delle bombe direzionabili da terroristi che riescano a prenderne in qualche modo il controllo. Lo spettro di un airplane hacking aleggia da diversi anni ed alcune notizie hanno innalzato il livello d’allerta:

  • nel 2015 l’esperto di sicurezza Chris Roberts rivelò all’FBI (leggi qui la storia) di esser penetrato una ventina di volte nei sistemi di controllo dei voli sui cui viaggiava, spiegando come in una di queste fosse anche riuscito (collegando un cavo Ethernet ad una scatoletta sotto il sedile) ad introdursi nei sistemi di intrattenimento per raggiungere il computer di bordo e sovrascrivere alcuni codici utili a prendere il controllo dei motori. Riuscì così ad imporre deviazioni di rotta (per sua volontà, minimali) al velivolo;
  • nel 2017 un test dello U.S. Department of Homeland Security ha dimostrato (leggi qui) come sia possibile prendere controllo di un Boeing 757 senza nemmeno entrare nel velivolo. Le informazioni di dettaglio sulle modalità di intrusione da remoto sono comprensibilmente classificate, ma – stando agli officer che hanno condotto il test – per accedere sistemi di volo si sono utilizzate le comunicazioni a radio frequenza. E raggiungere l’obiettivo non è stata un’impresa particolarmente difficile.
2018-09-11T19:23:07+00:00 11 settembre 2018|Hot topics, Security & Cybercrime|