La compagnie aérienne espagnole Air Europa, troisième compagnie aérienne du pays et membre de l’alliance SkyTeam, a averti lundi ses clients d’annuler leur carte de crédit après que des attaquants ont accédé aux informations de leur carte lors d’une récente violation de données.

« Nous vous informons qu’un incident de cybersécurité a été récemment détecté dans l’un de nos systèmes, consistant en un possible accès non autorisé aux données de votre carte bancaire », a indiqué Air Europa dans des courriels envoyés aux personnes concernées et consultés par BleepingComputer.

« Nous avons sécurisé nos systèmes, garantissant le bon fonctionnement du service. De plus, nous avons effectué les notifications nécessaires aux autorités compétentes et aux entités nécessaires (AEPD, INCIBE, banques, etc.). »

Les détails de la carte de crédit exposés lors de la violation comprennent les numéros de carte, les dates d’expiration et le code CVV (Card Verification Value) à 3 chiffres au dos des cartes de paiement.

Air Europa a également averti les clients concernés de demander à leurs banques d’annuler les cartes utilisées sur le site Internet de la compagnie aérienne en raison du « risque d’usurpation de carte et de fraude » et « pour éviter une éventuelle utilisation frauduleuse ».

Il est également conseillé aux clients de ne pas communiquer leurs informations personnelles ou le code PIN de leur carte à toute personne les contactant par téléphone ou par courrier électronique et de ne pas ouvrir de liens dans des courriers électroniques ou des messages les avertissant d’opérations frauduleuses impliquant leurs cartes.

Le nombre de clients concernés reste inconnu

L’entreprise n’a pas encore révélé combien de ses clients ont été concernés par la violation de données, la date à laquelle ses systèmes ont été piratés et quand l’incident a été détecté.

Un porte-parole d’Air Europa n’était pas disponible pour commenter lorsqu’il a été contacté par BleepingComputer plus tôt dans la journée.

Il y a deux ans, en mars 2021, l’Agence espagnole de protection des données (DPA) a également une amende de 600 000 € la compagnie aérienne pour violations du règlement général sur la protection des données de l’Union européenne (RGPD) et pour avoir informé l’organisme de surveillance de la vie privée de la violation de données plus de 40 jours plus tard.

La violation de données de 2021 a touché environ 489 000 personnes, les attaquants ayant eu accès à leurs coordonnées et à leurs coordonnées bancaires (numéros de carte, dates d’expiration et codes CVV) stockés dans 1 500 000 enregistrements de données.

Alors que les criminels ont utilisé environ 4 000 données de cartes bancaires dans des activités frauduleuses, Air Europa a classé la violation comme un incident à risque moyen et a choisi de ne pas informer les personnes concernées.