airBaltic, la compagnie aérienne nationale lettone, a reconnu qu’une « erreur technique » avait exposé les détails de la réservation de certains de ses passagers à d’autres passagers d’airBaltic.
Les passagers ont également signalé avoir reçu des courriels inattendus qui leur étaient adressés par le nom d’un autre client.
La compagnie aérienne basée à Riga, constituée sous le nom d’AS Air Baltic Corporation, opère des vols vers 80 destinations et appartient à 97% au gouvernement. Bien que le transporteur aérien affirme que la fuite affecte un petit pourcentage de ses clients et qu’aucune donnée financière ou de paiement n’a été exposée, la compagnie aérienne n’a pas encore divulgué le nombre total de passagers concernés.
Une exposition accidentelle fait fuir les réservations de passagers
Hier, plusieurs passagers d’airBaltic ont déclaré avoir reçu des e-mails adressés à quelqu’un d’autre :
La compagnie aérienne a également commencé à envoyer des e-mails à ses clients, les informant d’une fuite de données qui a exposé leurs informations de réservation à d’autres passagers.
Un de ces e-mails a été repéré par le chercheur en sécurité Erik Wynter, qui l’a partagé avec Breachtrace :
Breachtrace a été informé que les informations exposées pouvaient inclure les noms complets, les dates de naissance, les adresses e-mail, etc. des passagers.
L’incident n’a pas résulté d’une cyberattaque
Un porte-parole d’airBaltic a confirmé à Breachtrace que le problème avait touché 0,009 % de ses clients à partir de cette année :
« Nous pouvons confirmer que le vendredi 12 mai, un problème technique interne a été détecté dans le système de distribution d’e-mails d’airBaltic, à la suite de quoi un petit nombre de passagers (environ 0,009 % de nos clients cette année) ont reçu un e-mail erroné. -mail avec les informations de réservation de vol d’un autre passager », a déclaré airBaltic à Breachtrace .
« Cet e-mail ne contenait pas de mode de paiement ou d’autres détails financiers, ni d’informations sensibles. La protection des données personnelles est très importante pour nous, nous pouvons donc garantir que dans l’incident, les informations personnelles des passagers non impliqués sont en sécurité et l’incident a été contenue. »
Considérant qu’airBaltic a transporté environ 3,3 millions de passagers en 2022, le pourcentage autrement infime pourrait signifier que l’incident d’exposition des données a eu un impact sur des centaines de voyageurs.
Étant donné que les données exposées comprennent des détails de réservation sensibles tels que le PNR/numéro de réservation, dont la connaissance pourrait être utilisée pour modifier un itinéraire, certains passagers ont exprimé leur inquiétude, exhortant la compagnie aérienne à leur attribuer un nouveau numéro de réservation.
« Cela a été fait pour les passagers qui ont contacté la compagnie aérienne individuellement et qui l’ont voulu eux-mêmes », a ajouté airBaltic à Breachtrace .
Le porte-parole déclare que les problèmes résultaient d’une « erreur technique interne » et qu’aucune activité malveillante ou influence externe (telle qu’une cyberattaque ou un acteur menaçant) n’est responsable de ces problèmes.
« L’e-mail a été envoyé dans une langue destinée au passager dont les données ont été incluses dans le message respectif, en fonction des paramètres et de la sélection de la langue lors du processus de réservation », a également tweeté la compagnie aérienne, et la même chose a été observée par certains passagers.
« La protection des données personnelles est très importante pour nous, nous enquêtons donc de manière approfondie sur cette affaire et contacterons tous les passagers concernés dans la journée. Nous garantissons que les données personnelles des passagers non concernés ne sont pas compromises et que l’incident est actuellement maîtrisé. Nous nous excusons pour tout inconvénient causé. »
Si vous êtes un client d’airBaltic qui a été touché par le problème, il peut être utile de contacter la compagnie aérienne et de lui demander de vous fournir un nouveau numéro de réservation.