0
1
La compagnie aérienne britannique EasyJet a signalé une fuite de données massive affectant neuf millions de ses clients et impliquant plus de 2 000 détails de cartes de crédit.
EasyJet a ajouté que son attaquant était « très sophistiqué », et qu’il avait eu accès aux adresses e-mail et aux détails de voyage de neuf millions de ses clients. Les détails des cartes de crédit de 2 208 clients ont été consultés par les attaquants. La société affirme avoir « bloqué cet accès non autorisé ».
Le précédent British Airways
Les clients concernés d’EasyJet seront contactés par la société au plus tard le 26 mai,, indique l’entreprise dans un communiqué. La société n’a pas divulgué la date de la fuite ni comment elle s’est produite, mais elle a informé le bureau de l’ICO du Royaume-Uni et le National Cyber Security Center (NCSC), et a engagé un expert pour enquêter sur la fuite de données.
En terme de nombre de clients affectés, cette fuite de données éclipse une précédente fuite de données de 2018 chez British Airways. British Airways a été condamnée à une amende record de 183,4 millions de livres sterling (225 millions de dollars) l’an dernier par l’ICO en vertu du règlement général européen sur la protection des données (RGPD).
En effet, l’ICO a attribué la fuite de données de British Airways, qui a touché 500 000 clients, à de « mauvaises dispositions en matière de sécurité » sur son site web, jugées insuffisantes pour protéger les informations de connexion, de carte de paiement, de voyage et les noms et adresses des clients.
Une vigilance renforcée
L’ICO a conseillé à EasyJet de divulguer la fuite de données en raison du risque pour les clients concernés d’être ciblés par des attaques de phishing. La compagnie aérienne incite donc ses clients à être vigilants à l’égard des communications non sollicitées, bien qu’il n’y ait aucune preuve que des informations personnelles avaient été utilisées à mauvais escient.
« Nous prenons la cybersécurité de nos systèmes très au sérieux et nous avons mis en place des mesures de sécurité solides pour protéger les informations personnelles de nos clients. Cependant, il s’agit d’une menace évolutive à mesure que les attaquants deviennent de plus en plus sophistiqués », explique Johan Lundgren, PDG d’EasyJet. « Depuis que nous avons pris connaissance de l’incident, il est devenu évident qu’en raison de la pandémie de Covid-19, les données personnelles utilisées pour les escroqueries en ligne suscitent une inquiétude accrue. En conséquence, et sur la recommandation de l’ICO, nous contactons les clients dont des informations sur les voyages ont été consultées et nous leur conseillons d’être extrêmement vigilants, en particulier s’ils reçoivent des communications non sollicitées. »
« Chaque entreprise doit continuer à rester agile pour garder la main face aux menaces. Nous continuerons à investir dans la protection de nos clients, de nos systèmes et de nos données. Nous voudrions nous excuser auprès des clients qui ont été touchés par cet incident. »
Mise à jour : Contacté par ZDNet.fr, le porte-parole de EasyJet nous indique être pour l’instant dans l’incapacité de donner une estimation des différentes nationalités des clients concernés. On ne sait donc pas pour le moment si des clients français sont directement concernés. La société ne donne pas non plus la date exacte de la fuite de données, mais indique avoir pris contact avec les autorités de protection des données (ici l’ICO britannique) au mois de janvier 2020. EasyJet indique que les clients affectés par la fuite de données seront contactés au cours des prochains jours pour les informer, et que les clients concernés par le vol de données de carte bancaire ont déjà été contactés.
