Утечка данных EasyJet
Утечка данных EasyJet — кибератака на компьютерные системы британской авиакомпании EasyJet. В результате атаки были скомпрометированы персональные данные миллионов клиентов компании[1].
Обнаружение
EasyJet впервые узнала о кибератаке в конце января 2020 года[1]. Приблизительно девять миллионов человек пострадали от утечки, при этом данные кредитных карт 2208 клиентов также были скомпрометированы. Компания уведомила Управление комиссара по информации во время расследования инцидента.
Публичное признание
О случившейся атаке EasyJet публично сообщила в мае 2020 года. Представители EasyJet заявили, что им удалось оповестить только тех клиентов, чьи данные (кредитные карты или адреса электронной почты) были украдены, лишь в апреле 2020 года. В сообщении компании отмечалось: «Это был весьма сложный атакующий. Потребовалось время, чтобы выяснить масштаб атаки и определить, кто попал под удар». Также было сказано: «Мы могли информировать пользователей только после того, как расследование продвинулось настолько, что позволило определить, были ли затронуты какие-либо лица, затем — кто именно пострадал и какая информация стала доступна».
Пострадавшие данные касаются бронирований, совершённых в период с 17 октября 2019 года по 4 марта 2020 года.[1]
Среди похищенной информации оказались и коды безопасности (CVV) кредитных карт.
Компания указала, что публичное оглашение информации было необходимо для уведомления девяти миллионов клиентов, чьи адреса электронной почты были украдены, о риске фишинговых атак; всем затронутым компания пообещала сообщить до 26 мая. Пассажирам, чьи детали кредитных карт были скомпрометированы, уведомления поступили в апреле[1]. Детали самой атаки раскрыты не были; в EasyJet предположили, что целью атаки могло быть получение «интеллектуальной собственности компании», а не данных, пригодных для кражи личностей.
EasyJet не была обязана уведомлять пассажиров, чьи базовые данные бронирования были скомпрометированы, однако компания всё же обнародовала информацию из-за увеличения количества фишинговых атак во время пандемии COVID-19 в Великобритании[1]. Паспортные данные не были затронуты[1].
Управление комиссара по информации заявило о начале расследования. В ведомстве отметили: «Граждане имеют право ожидать, что организации будут обращаться с их персональными данными надёжно и ответственно. Если этого не происходит, мы проведём расследование и при необходимости примем решительные меры».
Согласно Общему регламенту по защите данных, компании обязаны надёжно хранить персональные данные, и EasyJet может быть оштрафована Управлением комиссара по информации до 4 % от оборота авиакомпании за 2019 год[1].