Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Fuite de données de paiement chez Air Europa

La compagnie aérienne espagnole Air Europa a exposé les coordonnées et les données complètes de cartes de paiement — y compris les codes CVV — d'environ 489 000 clients sur 1,5 million d'enregistrements, et a été condamnée à 600 000 euros d'amende par l'AEPD pour sécurité insuffisante et notification tardive de 41 jours.

Victime
Air Europa
Perte
$648.0K
données
1.5M
utilisateurs
489.0K
SecteurTransport
PaysEspagne

Dans une violation d'abord révélée en octobre 2018 et finalement sanctionnée en mars 2021, le transporteur espagnol Air Europa a exposé les données complètes de cartes de paiement — y compris le code de sécurité à trois chiffres CVV — d'environ 489 000 clients. L'affaire est devenue une décision européenne de référence, à la fois sur la sécurité des données et sur la rapidité de notification des violations.

Ce qui s'est passé

Air Europa stockait les coordonnées des clients et les données de cartes bancaires — numéros de carte, dates d'expiration et codes CVV — sur environ 1,5 million d'enregistrements. Le 17 octobre 2018, un établissement bancaire a alerté la compagnie que des données de cartes avaient été compromises après avoir détecté des transactions frauduleuses, indiquant que des attaquants avaient accédé aux systèmes de la compagnie.

Bien qu'ayant eu connaissance de l'incident, Air Europa n'a notifié l'autorité espagnole de protection des données, l'AEPD, que le 27 novembre 2018 — un retard de plus de 40 jours, bien au-delà du délai de 72 heures imposé par le RGPD. La compagnie a d'abord classé l'événement comme un incident de risque moyen et n'a pas averti rapidement les personnes concernées. Ce n'est qu'en octobre 2019 qu'Air Europa a envoyé un courriel aux clients les invitant à faire opposition sur leur carte.

Conséquences

  • Environ 489 000 personnes ont vu leurs coordonnées et données complètes de cartes de paiement exposées, issues d'un ensemble d'environ 1,5 million d'enregistrements.
  • Les enquêteurs ont constaté que les données d'environ 4 000 cartes avaient été utilisées dans des transactions frauduleuses, faisant de cette violation un cas de préjudice avéré, et non seulement hypothétique.
  • Les données exposées incluant le CVV, les cartes étaient directement exploitables pour la fraude à distance, ce qui explique précisément pourquoi les standards de sécurité des paiements interdisent de conserver les CVV après autorisation.

Suites réglementaires

Le 19 mars 2021, l'AEPD a infligé à Air Europa une amende de 600 000 euros, répartie en 500 000 euros pour violation de l'article 32 du RGPD (absence de mesures techniques et organisationnelles de sécurité appropriées) et 100 000 euros pour violation de l'article 33 (défaut de notification à l'autorité de contrôle dans le délai requis). Il s'agissait alors de l'une des plus lourdes amendes RGPD prononcées en Espagne.

Pourquoi c'est important

La décision Air Europa est fréquemment citée à deux titres. D'abord, elle a réaffirmé que conserver des données de paiement sensibles telles que les CVV, et les protéger insuffisamment, constitue en soi une violation de l'article 32. Ensuite, la pénalité distincte de 100 000 euros pour notification tardive a envoyé un message clair à travers l'UE : le délai de 72 heures est applicable — une organisation ne peut pas garder discrètement une violation confirmée pendant qu'elle évalue sa gravité. Pour le secteur aérien, qui traite à grande échelle des données de paiement et de passagers, l'affaire est devenue une référence d'avertissement.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
648.0K
USD · 648 000 $US
  • Amendes & règlements$648.0K

Chronologie

  1. Un établissement bancaire signale à Air Europa des transactions frauduleuses remontant à des données de cartes compromises, révélant une compromission des systèmes de la compagnie.

  2. Air Europa notifie formellement l'AEPD de la violation de données — plus de 40 jours après en avoir eu connaissance.

  3. Air Europa envoie un courriel aux clients concernés les invitant à faire opposition sur leur carte bancaire par précaution contre la fraude.

  4. L'AEPD ouvre la procédure de sanction PS/00179/2020 concernant la gestion de la violation par Air Europa.

  5. L'AEPD inflige à Air Europa une amende de 600 000 euros — 500 000 pour sécurité insuffisante (art. 32) et 100 000 pour notification tardive (art. 33).

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/air-europa-data-breach-customers-warned-to-cancel-credit-cards/
  2. gdprhub.euhttps://gdprhub.eu/index.php?title=AEPD_%28Spain%29_-_PS%2F00179%2F2020
  3. dataguidance.comhttps://www.dataguidance.com/news/spain-aepd-fines-air-europa-600000-gdpr-security-and
  4. airport-technology.comhttps://www.airport-technology.com/news/air-europa-credit-card-data-breach/

Incidents liés

Fuite de donnéesRésolu

Fuite de données Phone House España (2021)

En avril 2021, le détaillant espagnol Phone House aurait subi une attaque par rançongiciel qui a également exposé d'importants volumes de données de clients. Attribuée au rançongiciel Babuk, une collection de données présentée comme un sous-ensemble d'un corpus plus vaste a été publiée sur un site du dark web et contenait 5,2 millions d'e-mail…

Victim
Phone House España
Records
5.2M
Fuite de donnéesEn cours

Fuite chez Interrail

Une cyberattaque de décembre 2025 contre Eurail B.V., opérateur des pass Interrail et Eurail, a exposé les données personnelles d'environ 308 000 voyageurs — noms, coordonnées, dates de naissance et numéros de passeport — revendues sur le dark web en 2026.

Victim
Interrail
Records
308.8K
Fuite de donnéesContenu

Fuite de données chez Mingat

Le 19 mars 2026, l'entreprise française de location de véhicules Mingat a confirmé une fuite de données touchant ses clients, qu'elle a informés d'un incident de sécurité ayant exposé des informations personnelles issues de ses fichiers de location.

Victim
Mingat