Attaque par rançongiciel contre AirAsia (Daixin Team)

En novembre 2022, le transporteur à bas coût AirAsia — exploité par la société malaisienne Capital A Berhad — a été frappé par le gang de rançongiciel Daixin Team, qui a affirmé avoir dérobé les données personnelles d'environ 5 millions de passagers uniques et de l'ensemble des employés de la compagnie.

Ce qui s'est passé

Selon Daixin Team, le groupe a pénétré le réseau d'AirAsia les 11 et 12 novembre 2022. Les attaquants ont déclaré avoir exfiltré deux grands jeux de données avant de verrouiller l'accès aux dossiers du personnel et des passagers. Le 19 novembre, la fuite a émergé publiquement via DataBreaches.Net, et le 21 novembre, Daixin a publié des fichiers échantillons à titre de preuve.

Daixin Team est un groupe d'extorsion et de rançongiciel à motivation financière, contre lequel la CISA et le FBI américains avaient mis en garde plus tôt en 2022 pour son ciblage du secteur de la santé. Le gang a déclaré aux journalistes avoir évité de chiffrer les systèmes liés aux équipements de vol pour empêcher toute perturbation mettant des vies en danger, mais avoir entièrement verrouillé l'accès aux dossiers administratifs jusqu'au paiement.

Données exposées

• Dossiers des passagers (~5 millions) : identifiant passager, nom complet (prénom, deuxième prénom, nom), identifiant de réservation et coût total du billet.
• Dossiers des employés : nom, date de naissance, pays de naissance, lieu de travail, date de début d'emploi et — notamment — la question de sécurité secrète de chaque employé, sa réponse et le sel du mot de passe.

L'exposition des questions et réponses de sécurité était particulièrement sensible, car elle pouvait faciliter les attaques de prise de contrôle de compte et d'ingénierie sociale contre le personnel.

Commentaires des attaquants

Dans un échange d'une franchise inhabituelle, des membres de Daixin ont critiqué la posture de sécurité d'AirAsia, décrivant « l'organisation chaotique du réseau » et déclarant que l'infrastructure interne tentaculaire et mal segmentée les a dissuadés de poursuivre des attaques plus profondes. Ils ont affirmé qu'AirAsia n'avait fait aucune tentative de négociation de la rançon et ne montrait aucune intention de payer.

Impact et réponse

AirAsia n'a versé aucune rançon, et les données dérobées ont été divulguées. Le Département malaisien de protection des données personnelles (JPDP), rattaché au ministère des Communications et du Multimédia, a ouvert une enquête pour déterminer si le transporteur avait enfreint la loi sur la protection des données personnelles de 2010. L'incident a suscité des critiques quant à la faiblesse apparente de la segmentation du réseau d'AirAsia et de ses pratiques de protection des identifiants.

Pourquoi c'est important

La fuite d'AirAsia est un incident malaisien marquant pour deux raisons. D'abord, elle a exposé des données d'identité de millions de voyageurs et de l'ensemble du personnel de l'une des plus grandes compagnies à bas coût d'Asie. Ensuite, la description publique d'un réseau « chaotique » par les attaquants a souligné un thème récurrent dans les grandes fuites de la région : des données personnelles riches et centralisées stockées sur des systèmes insuffisamment segmentés et surveillés. Elle a renforcé les arguments en faveur d'une application plus stricte de la notification des violations et de normes de cybersécurité dans le secteur aérien à travers l'Asie du Sud-Est.