Bei Cyberangriff auf spanische Air Europa wurden Kreditkartendaten offengelegt
Hacker erlangten Zugriff auf sensible Kundendaten. Die spanische Airline empfiehlt Betroffenen, die Kreditkarten auszutauschen, um Missbrauch zu verhindern.
Boeing 737
(Bild: Air Europa)
Bei einer Cyberattacke auf das Online-Zahlungssystem der spanischen Fluggesellschaft Air Europa haben Angreifer die Kreditkartendaten einiger Kunden erbeutet. Das erklärt die Airline in einem Anschreiben betroffener Kunden. Wie viele Kunden von dem Cyberangriff betroffen sind und welche finanziellen Auswirkungen diese Attacke haben könnte, sagte sie bisher nicht.
Bisher gibt es laut Air Europa keine Beweise, dass die bei dem Cyberangriff kopierten Kreditkartendaten betrügerisch eingesetzt worden seien, berichtet Reuters. Gleichzeitig empfiehlt die Airline dringend, die Kreditkarten bei der ausgebenden Bank zu ersetzen, um mögliche Betrugsversuche zu vermeiden. Zudem hat Air Europa nach eigenen Angaben die betroffenen Banken sowie die zuständigen Behörden informiert.
Umfangreiche Kreditkartendaten erbeutet
Zu den gestohlenen Kundendaten gehören die Kreditkartennummer, das Ablaufdatum und der auf der Rückseite der Karte abgedruckte dreistellige Sicherheitscode (Card Verification Value, CVV), mit dem etwa Online-Bestellungen verifiziert werden. Air Europa warnt die betroffenen Kunden, keinen fremden Personen persönliche Daten oder PIN-Nummern zu nennen, sollten sie per Telefon oder E-Mail kontaktiert werden. Auch sollten keine Links in E-Mails oder Direktnachrichten aufgerufen werden, selbst wenn diese vor möglichem Kreditkartenbetrug warnen.
Air Europa hat bislang nicht erklärt, wann die Cyberattacke erfolgt und wann diese entdeckt worden ist. Spanische Unternehmen sind verpflichtet, etwaige Angriffe innerhalb von 72 Stunden zu melden. Die spanische Verbraucher- und Kundenschutzorganisation "Organización de Consumidores y Usuarios" (OCU) fordert die Aufsichtsbehörden zu Ermittlungen auf, denn mögliche Betrugsversuche könnten bereits vor der Warnung der Airline erfolgt sein.
Airline-Geldstrafe für früheren Cyberangriff
Bereits im März 2021 wurde Air Europa von der spanischen Datenschutzbehörde mit einer Geldstrafe von 600.000 Euro belegt, weil die Fluglinie einen Cyberangriff erst 41 Tage später bei den Aufsichtsbehörden gemeldet hatte. Air Europa erkannte die Attacke per Hacking und Malware am 17. Oktober 2018, informierte die Behörden aber erst am 27. November des Jahres, wie die Datenschutzbehörde schreibt.
Obwohl 489.000 Personen von dem damaligen Cyberangriff betroffen waren, bei dem Kunden- und Bankdaten erbeutet wurden, sollen lediglich 4000 Bankkarten für mögliche Betrugsversuche verwendet worden seien. Deshalb stufte die Airline die Attacke 2018 als mittleres Risiko ein und verzichtete auf eine Warnung der Kunden, anders als im jüngsten Fall.
(fds)