Pet avio-kompanija hakovano za dva mjeseca: Er Frans i KLM najnovije žrtve
Er Frans (Air France) i KLM Rojal Dač Erlajns (KLM Royal Dutch Airlines) — nacionalni prevoznici Francuske i Nizozemske — najnoviji su u nizu svjetskih avio-prevoznika koji su hakovani od sredine juna.
U četvrtak je Er Frans (Air France) putem e-pošte obavijestio svoje putnike o „nedavnom curenju podataka koje uključuje lične podatke“, pri čemu je „haker dobio ograničen pristup trećem sistemu koji koristi Er Frans (Air France)“.
KLM, koji je poslao slično obavještenje svojim putnicima, potvrdio je za Forbes putem e-pošte da se incident „desio prošle sedmice i da je brzo analiziran i stavljen pod kontrolu“.
Izložena su imena nekih putnika, brojevi kartica lojalnosti i statusni nivoi, ali nisu kompromitovani podaci o kreditnim karticama, brojevi pasoša, stanje milja na računima lojalnosti niti podaci o rezervacijama, navodi se u e-poruci Er Fransa putnicima.
Hakerska grupa pod nazivom Šajni Hanters (ShinyHunters) tvrdi da stoji iza napada, a sajber stručnjaci vjeruju da se ova grupa preklapa sa grupom Sketerd Spajder (Scattered Spider), koja je odgovorna za hakovanja kompanija VestDžet (WestJet), Havajan (Hawaiian) i Kvantas (Qantas).
KLM je u saopštenju za javnost naveo da je „uočena neuobičajena aktivnost na eksternoj platformi koju koriste za korisničku podršku“.
Ni Er Frans ni KLM nijesu objavili koja je platforma korisničke podrške kompromitovana, ali su brojni izvori iz oblasti sajber bezbjednosti — uključujući kompaniju za sajber softver Malverbajts (Malwarebytes) i časopis Infosecurity — pisali o tome kako su Šajni Hanters postizali uspjeh ciljajući na istaknute korisnike Salesforce-a, uključujući Gugl (Google), Cisko (Cisco), Adidas i Allianz.
Zašto su avio-kompanije meta?
Avio-kompanije su složeni sistemi, rekao je Vilijem Rajt (William Wright), ekspert za sajber bezbjednost iz Škotske iz kompanije Klozd Dor Sekjuriti (Closed Door Security), za Forbes. „One su ogromne, sa ogromnim lancima snabdijevanja. Vrlo je očigledno gdje su slabe tačke. Nažalost, avio-kompanije mogu vrlo malo da urade direktno, jer obično treća strana posjeduje sistem.“
Ko su Šajni Hanters?
Nazvani po popularnoj praksi među igračima Pokemona da traže i hvataju „šajni Pokemone“, Šajni Hanters (ShinyHunters) su dobro poznata hakerska grupa koja stoji iza više visokoprofilnih curenja podataka posljednjih godina. Njihove nedavne žrtve uključuju Tiketmaster (Ticketmaster) i špansku onlajn banku Santander.
Vjeruje se da su povezani sa grupom Sketerd Spajder (Scattered Spider), zajednicom hakera koja je odgovorna za brojne poznate sajber napade, uključujući ransomware napade 2023. godine na MGM Rizorts (MGM Resorts) i Sizar Entertejnment (Caesars Entertainment), britanskog trgovca Marks i Spenser (Marks & Spencer) i osiguravajuću kuću Aflak (Aflac).
Međutim, često je teško pripisati hakerski napad konkretnoj grupi, rekao je Rajt. „Često vidimo ljude sa specifičnim vještinama kako se pridružuju različitim grupama. Ako uzmemo Spajder kao primjer, moguće je da jedan od njihovih članova ima posebne vještine sa Salesforce-om, pa su ga Šajni Hanters angažovali.“
Zašto su milje iz programa lojalnosti vrijedne hakerima?
Programi lojalnosti često su slabo zaštićeni, rekao je Rajt. Druga ranjivost je fleksibilnost u načinu trošenja milja ili poena. Program Er Fransa „Flying Blue“ je tipičan primjer jer dozvoljava trošenje milja i na hotele, duty-free kupovinu i onlajn prodavnice, ne samo na letove.
„Glavna stvar koju napadač želi jeste da izvuče vrijednost iz sistema. Ako mogu da potroše poene na druge stvari, tako će i uraditi. A kada ti poeni napuste avio-kompaniju, praktično su neuhvatljivi“, rekao je Rajt.
Ono što ne znamo
Nije jasno da li su ovi hakerski napadi dio „stalne kampanje krađe podataka koja cilja Salesforce instance“, kako piše Infosecurity. Mnogi napadi Šajni Hantersa koriste „voice phishing“ — kako je objasnio Google Threat Intelligence Group — pri čemu napadači vješto manipulišu zaposlenima, često u engleskim ograncima multinacionalnih kompanija, da im daju pristup ili osjetljive podatke, što olakšava krađu podataka iz Salesforce-a.
Stručnjaci vjeruju da iza napada stoje Salesforce stručnjaci. „Najvjerovatnije, ako ih ikada uhvate, vidjećemo da su nekada bili Salesforce diveloperi ili administratori“, rekao je Rajt.
Salesforce je negirao da je njihov softver ranjiv. „Platforma Salesforce nije kompromitovana i ovaj problem nije posljedica poznate ranjivosti u našoj tehnologiji“, saopštio je portparol kompanije. „Istina je da sama platforma nije imala ranjivost, ali se koristi u zlonamjerne svrhe“, dodao je Rajt.
Zanimljiv podatak
Hakeri koji stoje iza ovih velikih proboja podataka često su u ranim dvadesetim ili čak tinejdžeri. „Mnoge od ovih grupa, koje nisu povezane s državama, čine mlađi ljudi kojima je dosadno, imaju vještine, ali ne i moralne granice“, rekao je Rajt. „Oni imaju vrlo malo životnog iskustva sa posljedicama.“
Suzanne Rowan Kelleher, Forbes
5 Airlines Hacked In 2 Months: Air France And KLM Are Latest Victims