Le groupe d’extorsion BianLian affirme avoir volé 210 Go de données après avoir piraté le réseau d’Air Canada, la plus grande compagnie aérienne du pays et membre fondateur de Star Alliance.

Alors que l’entreprise a déclaré dans un communiqué publié en septembre que les systèmes compromis lors de la violation comprenaient un nombre limité d’employés et « certains dossiers », les attaquants affirment désormais que les documents volés contenaient des informations beaucoup plus complètes.

Les auteurs de la menace ont également partagé des captures d’écran des données volées sur leur site Web de fuite de données sur le Dark Web comme preuve et une description détaillée de ce qui a été volé sur le réseau de la compagnie aérienne.

BianLian affirme avoir exfiltré des données techniques et opérationnelles allant de 2008 à 2023, y compris des détails sur les défis techniques et de sécurité de l’entreprise, des sauvegardes SQL, des informations personnelles sur les employés, des données concernant les fournisseurs, des documents confidentiels et des archives des bases de données de l’entreprise.

« Les données personnelles des employés ne représentent qu’une petite fraction des données précieuses sur lesquelles ils ont perdu le contrôle », a déclaré le gang de cybercriminalité.

« Par exemple, nous avons des bases de données SQL avec des problèmes techniques et de sécurité de l’entreprise. Vous pouvez le vérifier par vous-même, un package de démonstration avec des captures d’écran est disponible ci-dessous. Des sauvegardes avec ces données sont disponibles sur notre site Web et à votre demande. »

BianLian est un groupe de ransomwares ciblant les organisations d’infrastructures critiques aux États-Unis et en Australie depuis juin 2022. Le gang est passé à des attaques d’extorsion uniquement en janvier 2023 lorsqu’Avast a publié un décrypteur pour son ransomware.

Dans une déclaration partagée avec BleepingComputer aujourd’hui, Air Canada a déclaré qu’elle était au courant des menaces de BianLian, mais n’a pas confirmé les affirmations du groupe d’extorsion selon lesquelles ils étaient à l’origine de la violation.

« BianLian avait menacé d’exploiter les médias dans ses efforts d’extorsion infructueux », a déclaré un porte-parole d’Air Canada par courrier électronique à BleepingComputer.

« Pour cette raison, nous ne pouvons commenter aucune affirmation formulée par un groupe anonyme basée sur la cybercriminalité et nous n’ajouterons rien à ce que nous avons dit publiquement. Nous espérons que les médias prendront cela en compte et rendront compte de telles questions de manière responsable. »

La compagnie aérienne canadienne n’a pas encore divulgué combien d’employés ont été touchés par l’incident, la date à laquelle son réseau a été piraté et quand l’attaque a été détectée.

Air Canada a également averti certains de ses clients dans des courriels envoyés aujourd’hui d’activer l’authentification multifacteur par SMS sur leurs comptes Aéroplan et d’utiliser des mots de passe forts pour se défendre contre les attaques de credential stuffing et de pulvérisation de mots de passe.

​En 2018, Air Canada a révélé une autre faille de sécurité après que des parties non autorisées ont accédé aux informations de profil de 20 000 de ses utilisateurs d’applications mobiles.

À la suite de cet incident, la compagnie aérienne a été contrainte de verrouiller l’ensemble des 1,7 millions de comptes d’applications mobiles afin de protéger les données de ses clients.

Les attaquants ont eu accès à une multitude de données lors de la violation de 2018, notamment les noms, adresses e-mail et numéros de téléphone des utilisateurs d’applications mobiles, ainsi que les numéros de passeport, les dates d’expiration et le pays de délivrance et de résidence.

Air Canada a déclaré à l’époque que les données de carte de crédit des clients n’étaient pas exposées et qu’aucun compte aircanada.com n’était affecté car ils n’étaient pas connectés à l’application mobile.

Cette semaine, Air Europa, la troisième plus grande compagnie aérienne d’Espagne, a également averti ses clients d’annuler leur carte de crédit après que des attaquants ont accédé aux informations de leur carte lors d’une récente violation de données.