La compagnie aérienne australienne Qantas a confirmé ce week-end que les données personnelles de ses clients, dérobées lors d'une cyberattaque en juillet, ont été publiées par des cybercriminels. Les attaquants, identifiés comme le collectif Scattered Lapsus$ Hunters, auraient agi après l'expiration d'un ultimatum.

L'étendue des données compromises

L'attaque, qui a touché un total de 5,7 millions de clients de Qantas, a exposé différents niveaux d'informations personnelles. Pour la majorité des personnes concernées, la fuite se limite au nom, à l'adresse e-mail et aux détails du programme Frequent Flyer.

Cependant, une portion plus réduite des clients a vu d'autres données exposées, telles que leur adresse professionnelle ou personnelle, leur date de naissance, leur numéro de téléphone, leur genre et leurs préférences de repas.

Qantas a tenu à rassurer en précisant qu'aucune coordonnée bancaire, information financière personnelle ou numéro de passeport n'a été impacté. De plus, les mots de passe et les identifiants de connexion des comptes Frequent Flyer n'ont pas été compromis.

La réaction de Qantas après les données dans la nature

Face à la situation, Qantas a réaffirmé son engagement à protéger ses clients et à collaborer avec les autorités.

La compagnie souligne être " l'une des nombreuses entreprises dans le monde dont des données ont été divulguées par des cybercriminels suite au cyberincident de début juillet, au cours duquel les données de clients ont été volées via une plateforme tierce ".

Qantas a également obtenu une injonction permanente de justice pour empêcher que les données volées soient consultées, publiées, utilisées, transmises ou publiées par quiconque. Depuis le cyberincident, la surveillance des systèmes d'information a été renforcée.

Une demande de rançon

Le groupe de hackers Scattered Lapsus$ Hunters a revendiqué la publication en laissant un message sur un site du Dark Web : " Ne faites pas la une des journaux, vous auriez dû payer la rançon ".

L'attaque initiale contre Qantas a exploité une faille via une plateforme tierce, celle de Salesforce, qui a de son côté déclaré ne pas négocier ni payer de rançon.

La cyberattaque s'inscrit dans une campagne plus vaste qui aurait touché plus d'une quarantaine d'entreprises, dont Air France - KLM, Toyota, Disney, Adidas et Ikea, avec un butin potentiel d'un milliard de dossiers clients.