Il numero di interessati i cui dati personali sono stati compromessi è ingente: 9,4 milioni di passeggeri. Un numero che rende la violazione che colpito i sistemi informativi di Cathay Pacific il più grave data breach finora registrato nel comparto dei voli commerciali.

Le prime attività sospette erano state individuate intorno al marzo di quest’anno, ma il cyberattack è proseguito nei mesi successivi ampliando la propria portata. Verso metà agosto era ormai chiaro che l’incursione aveva compromesso i dati personali dei passeggeri ma solo il 24 ottobre la compagnia aerea con base ad Hong Kong ha completato l’identificazione delle vittime del furto dandone notizia al pubblico con un comunicato.

Il 25 ottobre Cathay Pacific ha approntato un’apposita pagina web contenente informazioni utili e indicazioni per i passeggeri che desiderano conoscere se i propri dati sono stati coinvolti. Nel medesimo giorno, la compagnia ha incominciato a contattare individualmente i clienti interessati e il ha pubblicato un video in cui il CEO – oltre a porgere le proprie scuse e a promettere rafforzamento delle politiche di cybersecurity –  annuncia che chi lo desidera potrà gratuitamente usufruire di servizi di identity monitoring (ossia di monitoraggio della rete e del dark web per rintracciate possibili furti o utilizzi illeciti dell’identità personale. Ad oggi oltre 50 mila passeggeri lo hanno richiesto).

I dati compromessi in relazione ai quasi 10 milioni di interessati sono: nome, nazionalità, data di nascita, recapiti (telefonici, email e domiciliari), numeri dei documenti di identità, numero identificativo frequent flyer, cronologia di viaggi e richieste al servizio clienti. Oltre a ciò, gli hacker hanno avuto accesso ai numeri 403 carte di credito scadute e 27 in uso ma prive di CVV,

Non è dato sapere chi abbia effettuato l’incursione, né vi è evidenza che i dati siano stati utilizzati in modo improprio. Quel che certo è che Cathay Pacific – che pur ha investito negli ultimi 3 anni 128 milioni di USD nel rafforzamento della propria infrastruttura IT – ha informato il Privacy Commissioner for Personal Data con grave ritardo. Una grave deficienza, probabilmente dovuta anche alla normativa dell’ex protettorato britannico – la Hong Kong’s Personal Data Privacy Ordinance (PDPO) – che non impone la notifica delle violazioni di sicurezza dei dati entro un termine stretto dal momento in cui se ne è presa conoscenza ma, più blandamente, suggerisce di informare l’autorità e gli interessati il prima possibile.

Mercoledì scorso la compagnia ha reso noto che sta collaborando con 27 autorità di 15 diverse giurisdizioni che esigono spiegazioni sull’accaduto. E, stante che diversi passeggeri i cui dati sono stati compromessi saranno sicuramente cittadini UE, è molto probabile che qualche autorità di controllo continentale contesterà la violazione del GDPR (quantomeno con riguardo al ritardo degli obblighi di disclosure del data breach ai sensi degli artt. 33 e 34).

Negli ultimi mesi si sono registrati diversi attacchi informatici all’aviazione commerciale:

  • nel settembre avevamo riferito (leggi qui) del data breach che aveva colpito 380 mila passeggeri di British Airways;
  • lo scorso aprile Delta Airlines rese noto (leggi qui) che i sistemi di un proprio partner commerciale – che fornisce sistemi di assistenza clienti basati sull’intelligenza artificiale – erano stati violati e che nomi, indirizzi ed estremi di pagamento di centinaia di migliaia di passeggeri erano stati potenzialmente compromessi;
  • a luglio un esperto di sicurezza norvegese dimostrò (leggi qui) come si potesse facilmente accedere online ai dati dei passeggeri della compagnia inglese Thomas Cook risalendo fino a database contenenti informazioni relative al 2013;
  • a fine agosto, Canada Airlines ha scoperto (leggi qui) che la sua app mobile era stata violata. I dati di 20.000 clienti (tra cui dati identificativi e di pagamento) erano stati rubati e oltre 1,5 milioni di utenti dell’app sono stati costretti a resettare in tutta fretta le proprie credenziali per non rischiare di finire anch’essi nella lista delle vittime.

Quello subito da Cathay Pacific non è il primo cyberattack contro le compagnie aeree né sarà l’ultimo. Ma di certo al momento si issa per (enorme) distacco in cima alla lista per numero di interessati coinvolti.