In einem kürzlich erfolgten Cyberangriff auf Air Europa, eine prominente spanische Fluggesellschaft, wurden sensible Kundendaten, einschließlich Kreditkarteninformationen, entwendet. Die Fluggesellschaft hat diesen Vorfall in einem Schreiben an die betroffenen Kunden bestätigt, obwohl bislang keine konkreten Angaben zur Anzahl der betroffenen Kunden oder den finanziellen Auswirkungen des Angriffs gemacht wurden.
Die entwendeten Daten umfassen Kreditkartennummern, Ablaufdaten und den dreistelligen Sicherheitscode (CVV), der für die Verifizierung von Online-Bestellungen genutzt wird. Air Europa hat bisher weder den genauen Zeitpunkt des Cyberangriffs noch den Zeitpunkt seiner Entdeckung offengelegt. Spanische Unternehmen sind jedoch gesetzlich verpflichtet, solche Angriffe innerhalb von 72 Stunden zu melden.
In einer offiziellen Mitteilung betonte Air Europa, dass bislang keine Hinweise darauf vorliegen, dass die im Cyberangriff kopierten Kreditkartendaten betrügerisch verwendet wurden. Dennoch empfiehlt das Unternehmen dringend, die betroffenen Kreditkarten über die ausstellenden Banken auszutauschen, um möglichen Betrugsversuchen vorzubeugen. Zudem hat Air Europa mitgeteilt, dass die betroffenen Banken sowie die zuständigen Behörden informiert wurden.
Die Fluggesellschaft warnt ihre Kunden eindringlich davor, persönliche Informationen oder PIN-Nummern an Unbekannte weiterzugeben, falls sie telefonisch oder per E-Mail kontaktiert werden. Ebenso sollten sie keine Links in E-Mails oder Direktnachrichten anklicken, auch wenn diese vor möglichem Kreditkartenbetrug warnen.
Die spanische Verbraucher- und Kundenschutzorganisation “Organización de Consumidores y Usuarios” (OCU) hat die Aufsichtsbehörden aufgefordert, Ermittlungen aufzunehmen, da mögliche Betrugsversuche bereits vor der Warnung der Fluggesellschaft stattgefunden haben könnten.
Dies ist nicht das erste Mal, dass Air Europa mit Cybersecurity-Problemen zu kämpfen hat. Im März 2021 wurde die Fluggesellschaft von der spanischen Datenschutzbehörde mit einer Geldstrafe von 600.000 Euro belegt, weil sie einen Cyberangriff erst 41 Tage nach dessen Erkennung den Regulierungsbehörden meldete. Bei dem Angriff im Oktober 2018, bei dem Kunden- und Bankdaten von 489.000 Menschen gestohlen wurden, wurden lediglich 4.000 Bankkarten für mögliche Betrugsversuche genutzt. Die Fluggesellschaft stufte den Angriff von 2018 als mittleres Risiko ein und verzichtete darauf, die Kunden zu warnen, anders als im jüngsten Fall.
Die wiederholten Cyberangriffe auf Air Europa werfen ernsthafte Fragen über die Cybersecurity-Praktiken und -Protokolle der Fluggesellschaft auf und betonen die Notwendigkeit, dass Unternehmen in robuste Sicherheitssysteme und -schulungen investieren, um Kundendaten zu schützen und das Vertrauen der Verbraucher zu bewahren.
