Breach per Cathay Pacific, rubati dati di 9,4 milioni di passeggeri

Cathay Pacific
Cathay Pacific

Non è il periodo più felice per i data manager delle compagnie aeree. Dopo Air Canada, dove gli hacker hanno rubato dati inclusi i passaporti ma senza arrivare alle carte di credito, e British Airways, dove gli hacker hanno rubato le carte di credito ma non sono arrivati ai passaporti, ora è la volta di Cathay Pacific, che ha visto il furto di dati di 9,4 milioni di passeggeri. Inclusi molti passaporti e alcune carte di credito.

In un annuncio ufficiale di due giorni fa, la compagnia aerea di Hong Kong ha dichiarato di aver subìto un furto di dati che comprendono nomi dei passeggeri, nazionalità, date di nascita, numeri di telefono, indirizzi postali, numeri di passaporto, carta d’identità, carta di credito, tessera frequent flyer, i dettagli sui viaggi effettuati e i commenti del servizio clienti (in pratica tutto tranne il login al sito).

Sempre secondo Cathay Pacific però i numeri di carta di credito rubati sono 430 (pochi, se si pensa al numero totale di dati oggetto di furto), praticamente tutti scaduti o inutilizzabili perché senza CVV.

Del breach la compagnia se ne è accorta a marzo di quest’anno, confermandolo poi a maggio dopo aver chiuso le vulnerabilità. La notizia però è stata data solo ora, presumibilmente al termine delle procedure interne per l’identificazione dei clienti e l’invio delle comunicazioni sul breach.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.