Hackeo en aerolineas de Hong Kong deja 9 millones de afectados

Hackeo en aerolineas de Hong Kong deja 9 millones de afectados

La aerolínea Cathay Pacific Airways ha lanzado un comunicado en el día de hoy para anunciar que ha descubierto un «acceso no autorizado» en sus datos, con nada menos que 9,4 millones de pasajeros afectados.

Los datos filtrados incluirían nombres, nacionalidades, números de teléfono, direcciones de email, direcciones físicas, etcétera:

«La compañía es consciente de que los datos de pasajeros de aproximadamente 9,4 millones han sido accedidos […] No tenemos evidencia de que estos datos personales hayan sido utilizados con fines maliciosos. Los sistemas de información afectados fueron separados de los sistemas de vuelo de la empresa. No hay impacto en la seguridad del pasaje.»

Aerolínea de Hong Kong pierde datos de más de 9 millones de personas

En cuanto a detalles técnicos poco se sabe por el momento, más allá de lo que afirma la compañía sobre «actividad sospechosa en su red». Eso sí, esto viene de largo puesto que comenzaron ya en Marzo de 2018 una investigación interna.

Aunque se ha reaccionado relativamente rápido, los datos han estado ahí lo suficiente como para que cualquier intruso los hubiera tomado. Estos datos incluían:

  • Fechas de nacimiento
  • Nombres / apellidos
  • Nacionalidad
  • Teléfonos
  • Emails
  • Direcciones
  • Números de tarjeta de crédito
  • Pasaportes

«Además, se pudo haber accedido a 403 números de tarjetas expiradas y 27 números de tarjetas sin CVV. La información accesible varía entre diferentes pasajeros.»

Las contraseñas no fueron comprometidas.

Phishing e ingeniería social se nutren de estas filtraciones

En caso de haber sido así, desde luego los atacantes habrían saltado de alegría. Sin embargo, aún sin contraseñas han obtenido la suficiente información para intentar modelos de fraude online, campañas de phishing, scams (engaños) en general.

860000 números de pasaporte y 245000 números de DNI de Hong Kong han sido accesibles.

La empresa está ahora contactando con las personas afectadas para notificar la brecha. También ha contactado con la Policia de Hong Kong y otras autoridades para intentar descubrir quien está detrás.

5 meses después…es demasiado

Cathay, la aerolínea afectada por este caso de hacking, ha esperado sin embargo la friolera de 5 meses para notificar a los clientes afectados. Esto es algo que seguramente traerá consecuencias en base a las leyes occidentales sobre protección de la información (mas aún con la RGPD / GDPR)

Sirva como ejemplo el aeropuerto de Heathrow, que ha sido recientemente multado con 120000 libras (unos 160000 €) por un caso similar ocurrido en 2017 -y eso que por aquel entonces no había GDPR y las multas eran mucho menores-.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.