EasyJet, una delle più note compagnie aeree low cost al mondo, ha subito un gravissimo e “altamente sofisticato” attacco informatico che ha compromesso i dati personali di uno straordinario numero di clienti. In un comunicato, il vettore inglese ha reso noto che gli hacker hanno avuto accesso a:
- i dati identificativi, gli indirizzi e-mail e i dettagli di viaggio relativi a 9 milioni di passeggeri;
- i dati della carta di credito di 2.208 di essi.
I dati dei passaporti non sarebbero stati esposti e, al momento, non sono emersi utilizzi fraudolenti di quelli rubati.
Sfiorato di pochissimo il record del più grave data breach della storia dell’aviazione civile di cui rimane detentrice Cathay Pacific con i suoi 9,4 milioni di clienti compromessi in un attacco risalente al 2018.
EasyJet, che in aprile aveva avuto qualche avvisaglia del data breach, non appena ha avuto evidenza della gravità dell’incursione ha allertato gli organi investigativi nonché l’ICO, l’autorità britannica per la protezione dei dati cui è stata inviata notifica della violazione ai sensi dell’art. 33 del GDPR.
EasyJet è anche alle prese con le comunicazioni da rendersi ai diretti interessati ai sensi dell’art. 34 del GDPR. La compagnia ha reso noto di aver già contattato le oltre 2.000 titolari di carte di pagamento rubate cui – supponiamo, come da recente prassi – sarà stato garantito il monitoraggio gratuito del credito per 12 mesi, la refusione delle spese di riemissione delle carte compromesse e la compensazione di qualsiasi danno finanziario subito per effetto della violazione di sicurezza.
La compagnia contatterà entro il 26 maggio tutte le restanti persone i cui dati siano risultati altamente compromessi. La campagna di comunicazione – che riguarda milioni di passeggere – è studiata di concerto con l’ICO per via della sua delicatezza perché i destinatari rischiano di cadere dalla padella nella brace, come un pesce per effetto – appunto – del phishing: il pericolo è che gli hacker approfittino della situazione e, sostituendosi ad EasyJet, contattino le vittime con e-mail false che potrebbero invitare i malcapitati a rilasciare altri dati per comprovare i propri diritti o che infettino i loro sistemi con spyware o ransomware.
Le indagini accerteranno se EasyJet avesse implementato misure di sicurezza adeguate a protezione dei dati personali. La compagnia, che nel 2019 ha trasportato 28 milioni di passeggeri, è rimasta a terra – come altre, in modo sia letterale che figurato – per effetto della pandemia Covid-19, al punto da essere la prima società del Regno Unito a chiedere un piano di salvataggio con un prestito governativo di 600 milioni di sterline per evitare il collasso finanziario.
Il rischio per EasyJet di vedersi comminata un’ingente sanzione per mancata adozione delle misure previste dal GDPR è reale, come può testimoniare un’altra compagnia britannica. British Airways nel 2019 ha sperimentato una multa da 204 di euro inflitta dall’ICO in relazione ad una violazione risalente al 2018 che, per via delle carenze di cybersecurity ascrivibili alla compagnia di bandiera, aveva compromesso i dati di (“solo”) mezzo milione di passeggeri.
