Cathay Pacific, una tra le compagnie aeree più grandi al mondo, si è vista rubare i dati personali di 9,4 milioni di clienti. Il furto è avvenuto lo scorso marzo, come comunicato dalla stessa azienda, e le informazioni sottratte potrebbero includere informazioni sul passaporto, numero di carta d’identità, data di nascita e indirizzi, numero di telefono. Ci sono anche dati sui viaggi effettuati ed eventuali commenti aggiunti dal servizio clienti dell’azienda. La password, invece, non sarebbe stata compromessa.

Cathay fa sapere che tra le informazioni sottratte ci sono anche “403 carte di credito scadute” e almeno 27 carte di credito senza codice CVV – il che dovrebbe essere il minimo, giacché le buone pratiche di sicurezza imporrebbero di non registrare mai quel codice. Anche se purtroppo non è un obbligo legale e diversi servizi online lo salvano per rendere più comoda la vita al cliente.

“L’azienda non ha prove di abusi“, recita la nota stampa. “I sistemi IT colpiti sono completamente separati dalle operazioni di volo e non c’è impatto sulla sicurezza del volo stesso”. È sicuramente una buona notizia sapere che gli aerei possono continuare a volare in sicurezza, ma ciò non toglie che un furto di dati rappresenta sempre rischi anche seri per le persone coinvolte – quasi dieci milioni in questo caso.

Il furto subito da Cathay Pacific è inoltre più rilevante di altri simili per la ricchezza dei dati sottratti; per esempio, le informazioni su passaporti e carte d’identità raramente sono finite in mano ai criminali, e rendono più semplice attuare un crimine insidioso come il furto d’identità. Per prevenire possibili abusi Cathay ha attivato una collaborazione con Experian, società specializzata appunto, tra le altre cose, in furto d’identità.

Un altro dettaglio rilevante, che mette Cathay in cattiva luce, è il fatto che sono passati ben sei mesi dall’intrusione. Sei mesi in cui i criminali hanno potuto sfruttare indisturbati le informazioni rubate. Se i clienti avessero saputo prima dell’accaduto, forse avrebbero anche potuto prendere delle contromisure per impedire ulteriori danni. A tal proposito, è opportuno ricordare che il recente regolamento europeo GDPR impone alle aziende, tra le altre cose, di comunicare entro tre giorni data breach come questa.

E proprio la Commissione Europea potrebbe avere qualcosa da ridire a riguardo, visto che Cathay opera anche nei paesi dell’Unione ed è quindi soggetta al General Data Protection Regulation. La Commissione, valutato l’accaduto, potrebbe spiccare una sanzione sostanziosa contro la società di Hong Kong.

Se siete stati passeggeri di Cathay Pacific negli ultimi anni i vostri dati potrebbero essere tra quelli rubati. È consigliabile consultare questa pagina (in inglese) per ulteriori dettagli, oppure usare il form online per verificare se i propri dati sono stati esposti. La società ricorda che le email di aggiornamento arriveranno dall’indirizzo infosecurity@cathaypacific.com, e di diffidare quindi da qualsiasi messaggio che potrebbe sembrare da parte loro ma arriva da una mail diversa.

I clienti colpiti dal furto di dati dovrebbero ricevere una comunicazione ufficiale dalla società nel corso dei prossimi giorni.

Il furto d’identità è stato trattato nel film Io Sono Tu del 2013. Ma forse è meglio rivedersi Face Off, che probabilmente è un film migliore

.