Air France i KLM Royal Dutch Airlines, nacionalni prijevoznici Francuske i Nizozemskoj, najnoviji su u nizu svjetskih avioprijevoznika koji su hakovani od sredine juna.
U četvrtak je Air France putem e-pošte obavijestio svoje putnike o „nedavnom curenju podataka koje uključuje lične podatke“, pri čemu je „haker dobio ograničen pristup trećem sistemu koji koristi Air France“.
KLM, koji je poslao slično obavještenje svojim putnicima, potvrdio je za Forbes putem e-pošte da se incident „desio prošle sedmice i da je brzo analiziran i stavljen pod kontrolu“.
Izložena su imena nekih putnika, brojevi kartica lojalnosti i statusni nivoi, ali nisu kompromitovani podaci o kreditnim karticama, brojevi pasoša, stanje milja na računima lojalnosti niti podaci o rezervacijama, navodi se u e-poruci Air Francea putnicima.
Hakerska grupa pod nazivom ShinyHunters tvrdi da stoji iza napada, a cyber stručnjaci vjeruju da se ova grupa preklapa sa grupom Scattered Spider, koja je odgovorna za hakovanja kompanija WestJet, Hawaiian i Qantas.
KLM je u saopštenju za javnost naveo da je „uočena neuobičajena aktivnost na eksternoj platformi koju koriste za korisničku podršku“.
Ni Air France ni KLM nisu objavili koja je platforma korisničke podrške kompromitovana, ali brojni izvori iz oblasti sajber sigurnosti, uključujući kompaniju za cyber softver Malwarebytes i časopis Infosecurity, pisali su o tome kako su ShinyHunters postizali uspjeh ciljajući na istaknute korisnike Salesforcea, uključujući Google, Cisco, Adidas i Allianz.
Aviokompanije su složeni sistemi, rekao je William Wright, ekspert za cyber sigurnost iz Škotske iz kompanije Closed Door Security, za Forbes. „One su ogromne, sa velikim lancima snabdijevanja. Vrlo je očigledno gdje su slabe tačke. Nažalost, aviokompanije mogu vrlo malo da urade direktno, jer obično treća strana posjeduje sistem.“
Nazvani po popularnoj praksi među igračima Pokemona da traže i hvataju „shiny Pokemone“, ShinyHunters su poznata hakerska grupa koja stoji iza više visokoprofilnih curenja podataka posljednjih godina. Njihove nedavne žrtve uključuju Ticketmaster i špansku online banku Santander.
Vjeruje se da su povezani sa grupom Scattered Spider, zajednicom hakera koja je odgovorna za brojne poznate cyber napade, uključujući ransomware napade 2023. godine na MGM Resorts i Caesars Entertainment, britanskog trgovca Marks & Spencer i osiguravajuću kuću Aflac.
Međutim, često je teško pripisati hakerski napad konkretnoj grupi, rekao je Wright.
„Često vidimo ljude sa specifičnim vještinama kako se pridružuju različitim grupama. Ako uzmemo Spider kao primjer, moguće je da jedan od njihovih članova ima posebne vještine sa Salesforceom, pa su ga ShinyHunters angažovali.“
Programi lojalnosti često su slabo zaštićeni, rekao je Wright. Druga ranjivost je fleksibilnost u načinu trošenja milja ili poena. Program Air Francea „Flying Blue“ je tipičan primjer jer dozvoljava trošenje milja na hotele, duty-free kupovinu i online prodavnice, ne samo na letove.
„Glavna stvar koju napadač želi jeste da izvuče vrijednost iz sistema. Ako mogu potrošiti poene na druge stvari, tako će i uraditi. A kada ti poeni napuste aviokompaniju, praktično su neuhvatljivi“, rekao je Wright.
Nije jasno da li su ovi hakerski napadi dio „stalne kampanje krađe podataka koja cilja Salesforce instance“, kako piše Infosecurity. Mnogi napadi ShinyHuntersa koriste „voice phishing“, kako je objasnio Google Threat Intelligence Group, pri čemu napadači manipulišu zaposlenima, često u engleskim ograncima multinacionalnih kompanija, da im daju pristup ili osjetljive podatke, što olakšava krađu iz Salesforcea.
Stručnjaci vjeruju da iza napada stoje Salesforce stručnjaci. „Najvjerovatnije, ako ih ikada uhvate, vidjet ćemo da su nekada bili Salesforce developeri ili administratori“, rekao je Wright.
Salesforce je negirao da je njihov softver ranjiv. „Platforma Salesforce nije kompromitovana i ovaj problem nije posljedica poznate ranjivosti u našoj tehnologiji“, saopštio je portparol kompanije. „Istina je da sama platforma nije imala ranjivost, ali se koristi u zlonamjerne svrhe“, dodao je Wright.
Hakeri koji stoje iza ovih velikih proboja podataka često su u ranim dvadesetim ili čak tinejdžeri. „Mnoge od ovih grupa, koje nisu povezane s državama, čine mlađi ljudi kojima je dosadno, imaju vještine, ali ne i moralne granice“, rekao je Wright. „Oni imaju vrlo malo životnog iskustva sa posljedicama.“