A Qantas, a maior e mais emblemática companhia aérea da Austrália, confirmou ter sido vítima de um ciberataque significativo. O incidente, detetado na passada segunda-feira, resultou no acesso não autorizado a uma plataforma de um fornecedor externo e na provável extração de uma quantidade substancial de dados de clientes.
A companhia aérea agiu de imediato para conter a ameaça, mas a intrusão já tinha ocorrido. O ataque foi direcionado a um centro de contacto (call center) da Qantas, permitindo que os atacantes conseguissem acesso a uma plataforma de serviço ao cliente. Apesar de todos os sistemas internos da Qantas permanecerem seguros, a brecha na segurança do parceiro externo expôs informações sensíveis.
O que foi roubado e o que está seguro?
A plataforma comprometida continha registos de serviço de aproximadamente seis milhões de clientes. Embora a Qantas ainda esteja a investigar a extensão total do roubo, a empresa espera que o volume de dados extraído seja "significativo".
Num comunicado, a companhia aérea especificou que os dados comprometidos incluem:
Nomes de clientes
Endereços de e-mail
Números de telefone
Datas de nascimento
Números do programa de passageiro frequente (frequent flyer)
A Qantas fez questão de sublinhar que informações financeiras, como dados de cartões de crédito, não foram expostas. Adicionalmente, passwords, códigos PIN e outros detalhes de login das contas de passageiro frequente não foram afetados pelo incidente. As autoridades australianas, incluindo o Centro Australiano de Cibersegurança e a Polícia Federal, já foram notificadas.
Ataque aponta para grupo especializado na aviação
Embora a autoria do ataque ainda não tenha sido confirmada oficialmente pela Qantas, as características do incidente partilham semelhanças com as táticas de um grupo de cibercriminosos conhecido como Scattered Spider.
Este desenvolvimento é particularmente alarmante, uma vez que surge pouco tempo depois de empresas de cibersegurança terem emitido alertas sobre a mudança de foco dos Scattered Spider para os setores da aviação e transportes. Ataques recentes à Hawaiian Airlines e à WestJet são também atribuídos a este grupo, que parece estar a adotar uma estratégia de ataque setor a setor. No caso da WestJet, os atacantes exploraram uma falha no sistema de reposição de passwords para obter acesso à conta de um funcionário.
Quem são os Scattered Spider e como atuam?
O grupo Scattered Spider, também conhecido por outras designações como 0ktapus ou UNC3944, é notório pela utilização de técnicas de engenharia social e ataques baseados em identidade. As suas táticas incluem phishing, SIM swapping (troca de cartão SIM), "bombardeamento" de pedidos de autenticação multi-fator (MFA) e chamadas telefónicas para os serviços de apoio técnico (help desk) para enganar funcionários e obter credenciais de acesso.
O grupo ganhou notoriedade em setembro de 2023, após o ataque aos casinos MGM Resorts, onde chegaram a encriptar mais de 100 servidores. A sua lista de vítimas inclui gigantes como a Twilio, Coinbase, DoorDash, Reddit e Riot Games, demonstrando a sua capacidade e audácia.
Recomendações e o futuro dos ataques
A estratégia metódica dos Scattered Spider levanta questões sobre qual será o próximo setor a ser visado. Para as organizações, a defesa contra este tipo de ameaça começa com uma visibilidade completa sobre toda a infraestrutura, sistemas de identidade e serviços de gestão críticos.
Especialistas em segurança recomendam o reforço da segurança em plataformas de reposição automática de passwords, serviços de apoio técnico e fornecedores de identidade, que se tornaram alvos comuns. Para auxiliar as empresas a protegerem-se, tanto o Google Threat Intelligence Group (GTIG) como a Palo Alto Networks publicaram guias detalhados sobre como fortalecer as defesas contra as táticas conhecidas deste grupo.
Nenhum comentário
Seja o primeiro!