Air Europa está enviando un correo a sus clientes informando de un ciberataque. La aerolínea explica que han tenido un problema de ciberseguridad que habría afectado a su entorno de pagos con el que gestionan las compras a través de la web.
Ante el "riesgo de suplantación de tarjetas y fraude que este incidente puede suponer", está pidiendo a los clientes que cancelen las tarjetas de crédito que hayan sido utilizadas para pagos con Air Europa, pues esos datos podrían haber sido sustraídos.
Air Europa vuelve a sufrir un grave ciberataque
Según se describe en los correos enviados a los clientes, los datos afectados serían el número de varias tarjetas, sus fechas de caducidad y el CVV. Información suficiente sensible como para recomendar ponerse en contacto con la entidad bancaria y solicitar la anulación de la tarjeta para evitar un potencial mal uso.
En respuesta a Xataka, desde Air Europa explican que "dicha alteración fraudulenta del flujo en el proceso de pago habría permitido la extracción de datos de las tarjetas de crédito", pero que "no hay constancia de que la filtración haya terminado utilizándose para cometer ningún fraude."
El equipo de la aerolínea sigue analizando lo sucedido y ya ha intervenido para bloquear la brecha de seguridad, por lo que no se prevé que haya filtración de nuevos datos.
Insisten en que "hasta la fecha no hay constancia de que dichos datos, que no se almacenan en nuestros sistemas, se hayan utilizado para cometer fraude alguno. Los datos extraídos han sido exclusivamente los asociados a las propias tarjetas en sí y no a los clientes".
Según explica Luis Corrons, Security Evangelist de Avast: "tiene toda la pinta de tratarse de un ataque tipo “formjacking”, también conocido como “Magecart” (por uno de los grupos que comenzó a popularizar este tipo de ataque) o como “web skinning”. Se trata de una forma de fraude en línea que involucra la infiltración en sitios web de comercio electrónico para robar datos de tarjetas de crédito de los clientes mientras realizan compras. Los atacantes insertan código malicioso en el sitio web, que luego captura y transmite los datos de la tarjeta de crédito a un servidor controlado por los atacantes. Este tipo de ataque ha afectado a numerosas empresas y ha expuesto datos sensibles de consumidores en los últimos años, siendo uno de los más sonados el que sufrió otra compañía aérea, British Airways".
Tal y como exige la ley, Air Europa ha notificado en tiempo y forma los hechos tanto a la Agencia Española de Protección de Datos (AEPD), como al INCIBE, a AESA, a las entidades financieras, así como a los clientes afectados, que han recibido estas recomendaciones para minimizar la incidencia.
No es el primer hackeo que sufre Air Europa. En 2018 se robaron los datos de 489.000 clientes, entre los que se encontraba información de sus tarjetas bancarias. De entre ellas, se informó que unas 4.000 tarjetas de crédito habían sido utilizadas para cometer fraude. Aquel hecho derivó en una multa de 600.000 euros por parte de la AEPD por incluir la ley de protección de datos. Habrá que esperar para conocer el alcance del nuevo ciberataque.
Imagen | Victor
Ver 30 comentarios
30 comentarios
innova
Y los costes de la anulación de tarjeta los asume Aireuropa ?
cabezonian
Y por esto, cada vez que un sitio ofrezca guardar los datos de la tarjeta para facilitar futuros pagos, decimos que no.
GRooDo
En la aplicación de Air Europa pone textualmente .... "Paga más rápido. Por motivos de seguridad nunca se almacena el número CVV de tus tarjetas". Así que o Air Europa miente o Xataka miente al decir que "Según se describe en los correos enviados a los clientes, los datos afectados serían el número de varias tarjetas, sus fechas de caducidad y el CVV. "
jonanananoj
Lo importante que es tener una tarjeta solo para compras por internet.
Yo tengo una tarjeta Revolut, y cuando compro algo por internet, envio el saldo que me hace falta en esa ocasión, por lo que la tarjeta siempre esta sin salgo o con menos de 10€.
Enviar el dinero es como hacer un Bizum.
angeladrian.medinafe
y como nos compensan a nosotros?
desde que robaron datos a Yoigo no paro de recibir llamadas de la compañia de la luz, muy bonito avisar en tiempo y forma y todo eso... pero como se repara el daño? por cada llamada de spam deberían darme 5 euros por daños y perjuicios
motoret25
El titular es incorrecto. No son TODOS los clientes....a mi no me ha llegado ningún email, y vuelo todos los meses con Air Europa. Creo hay que estar agradecidos que con la nueva ley, nos avisen. Mejor esto que encontrarte una mala sorpresa en un par de meses.
imf017
Hay una cosa que me escama: el "formjacking", según he podido leer, implica que la página web legal, en este caso la de Air Europa, tiene inyectado código javascript malicioso que se encarga de capturar los datos que introduce el usuario en la web:
https://us.norton.com/blog/emerging-threats/what-is-formjacking
La pregunta es: ¿cómo coño hacen para inyectar el código javascript en la página? Para hacerlo a nivel de servidor, se tendrían que infiltrar en los servidores donde se aloja la web de AE, lo cual sería algo gravísimo por las consecuencias que pudiera tener. Otra cosa es que lo inyecten a nivel de usuario, pero eso implicaría hackear los terminales de cada usuario, lo cual es casi como ponerle puertas al campo. No sé, es un poco raro todo.
valadre
Pero ¿No utilizan una plataforma de pago propia de los bancos para los cobros? porque quieren que se cancele? acaso guardan los números de tarjeta con algun otro fin? porque no deberian ni tenerlos, salvo en su banco con su relación de cobros.
Edito: gracias a los comentarios, otra vez, he entendido mejor la noticia.....Pues menudo putadon, me imagino que estan informando solo a los que lo han comprado el billete desde que han detectado la inyección hasta el ultimo chequeo
Funkse
joder vaya liada!!!
soyeltroll
Si pagas con Paypal no pasa...
Esperando que me refuten
LigarHoy-Top10.com
Yo por eso todo lo pago en mano y en negro
bahamuth
Hoy en día todos los portales de internet deberían aceptar PayPal o similares, y uno como usuario pagar por estos métodos ya que dejar una tarjeta en un portal web aunq sea una empresa de prestigio es muy inseguro por este tipo de cosas, uno nunca sabe cuando te van a hakear
ahmonge
Los delitos informáticos no dejan de crecer, pero ni las empresas, ni las autoridades, ni la sociedad en general prestan la atención debida ni implementan las medidas adecuadas para contenerlos. Hasta que no suceda un percance grave con víctimas por culpa de un delito informático no empezaremos a combatirlos como se merecen.
titan81
Es que para empezar no deberían almacenar datos de tarjetas, solo deberían guardar los tokens devueltos por su pasarela de pagos.
Además, guardar datos de tarjetas implica el nivel más alto de PCI-DSS, pero a la vista de los resultados, o bien no la tienen, o la auditoría se hizo de aquella manera.
informatico_loco
¿No almacenan encriptados los datos de la tarjetas? ¿Por qué no utilizan tokens para el pago con tarjeta?