La compagnia aerea Cathay Pacific ha subito il furto dei dati personali di 9,4 milioni di clienti. L’azienda ha comunicato che il furto è avvenuto lo scorso marzo, e che le informazioni potrebbero includere dati relativi a passaporti, numeri di carta d’identità, data di nascita, indirizzi, e numeri di telefono. La password, invece, non sarebbe stata compromessa.
Tra le informazioni sottratte, sempre secondo Cathay, includono anche 403 carte di credito scadute e almeno 27 senza codice CVV.
Ecco il commento di Tim Bedard, Director Security Product Marketing di OneSpan.
“Cathay Pacific è l’ultima grande compagnia aerea ad essere violata quest’anno, quindi non può sorprendere la sfiducia dei consumatori nel considerare al sicuro i propri dati in mano ai grandi brand. La compagnia aerea ha avuto fortuna in quanto la maggior parte dei dati delle carte di pagamento rubati erano scaduti o privi dei codici CVV. E, peraltro, non vi è evidenza di un utilizzo improprio dei suddetti dati. Ma ciò che di questa violazione risulta più allarmante è la grande quantità di informazioni personali identificabili ad essere stata sottratta quali numeri di passaporto, date di nascita, estremi di carta d’identità. Una tale quantità che, venduta nel dark web, può rendere possibili ulteriori attacchi contro altri account dei propri clienti.
Il costo di questa violazione deriverà da sanzioni, contenziosi, ulteriori spese per la sicurezza informatica, attività di comunicazione per rimediare alla copertura mediatica negativa, danni alla reputazione con conseguente perdita di business. Ancora non sono chiare né la causa della violazione né la ragione del ritardo di sette mesi nel renderla nota, ma – se vuole riguadagnare la piena fiducia dei clienti – d’ora in poi Cathay Pacific deve essere totalmente trasparente riguardo all’accaduto. E dovrebbe valutare cosa fare per rassicurare i propri clienti, ad esempio offrendo gratuitamente protezione contro il furto d’identità e servizi di monitoraggio del credito alle vittime della violazione.
Va da sé che questo dovrebbe servire da lezione a tutte le aziende, ovviamente non solo del settore dei trasporti: non bisogna dare per scontata la sicurezza. È imperativo che le valutazioni periodiche dei protocolli di sicurezza e degli strumenti di monitoraggio siano eseguite continuativamente per identificare eventuali punti deboli ed evitare che malintenzionati possano trarne vantaggio.”