Fuite de données du programme de fidélité Enrich de Malaysia Airlines
Malaysia Airlines a révélé un incident de sécurité des données s'étalant sur neuf ans chez un prestataire informatique tiers gérant son programme de fidélité Enrich, exposant les noms des membres, leurs coordonnées, dates de naissance et données de grand voyageur.
- Victime
- Malaysia Airlines (programme de fidélité Enrich)
En mars 2021, Malaysia Airlines a notifié aux membres de son programme de grand voyageur Enrich que leurs données personnelles avaient été exposées lors d'un « incident de sécurité des données » chez un prestataire informatique tiers — une exposition qui, selon la compagnie, s'était étalée sur une remarquable durée de neuf ans.
Ce qui s'est passé
La fuite ne s'est pas produite au sein des propres systèmes de Malaysia Airlines. Elle a touché un prestataire de services informatiques tiers sous contrat pour gérer le programme de fidélité Enrich. La compagnie a révélé que la fenêtre d'exposition s'étendait de mars 2010 à juin 2019, ce qui signifie que les données des membres pouvaient avoir été accessibles pendant près d'une décennie avant que l'incident ne soit mis au jour.
Malaysia Airlines a souligné que la fuite n'avait pas affecté son infrastructure ni ses systèmes informatiques centraux, et qu'il n'existait aucune preuve d'une mauvaise utilisation des données exposées. Néanmoins, la durée de l'exposition a soulevé de sérieuses questions sur la supervision du traitement de données externalisé.
Données exposées
Les informations compromises comprenaient, pour les membres Enrich :
- Noms
- Coordonnées
- Date de naissance et sexe
- Numéros de grand voyageur (d'adhésion)
- Statut de niveau d'adhésion et données de récompenses
La compagnie a déclaré que les itinéraires de voyage, réservations, détails de billetterie, numéros de carte d'identité, informations de carte de paiement et mots de passe de compte n'avaient pas été affectés. Par précaution, elle a néanmoins conseillé à tous les membres Enrich de changer le mot de passe de leur compte.
Une vague plus large dans la chaîne d'approvisionnement
La divulgation de Malaysia Airlines est survenue au milieu d'une vague plus large de fuites de la chaîne d'approvisionnement aérienne en 2021. À peu près à la même période, le fournisseur informatique et de communications du secteur aérien SITA a révélé un incident distinct affectant les données passagers de nombreux transporteurs des alliances Star Alliance et oneworld. Ensemble, ces événements ont mis en évidence à quel point les sous-traitants tiers et les plateformes aériennes partagées étaient devenus un point de risque concentré pour l'industrie.
Impact et réponse
Malaysia Airlines a refusé de révéler publiquement le nombre de membres Enrich concernés ou de nommer le prestataire responsable, s'attirant des critiques pour sa transparence limitée. La compagnie a exhorté les membres à surveiller leurs comptes et à réinitialiser leurs mots de passe, et a réexaminé ses dispositifs de sécurité des données avec ses fournisseurs tiers.
Pourquoi c'est important
La fuite Enrich est un cas malaisien emblématique de chaîne d'approvisionnement. Elle illustre comment une défaillance de plusieurs années chez un sous-traitant — plutôt qu'une intrusion spectaculaire — peut discrètement exposer les données d'un programme de fidélité sur une vaste base de clients. La fenêtre d'exposition de neuf ans a souligné l'importance d'une supervision continue de la sécurité des tiers, de clauses contractuelles de notification des violations et de la minimisation des données dans les systèmes de fidélité et de CRM externalisés du secteur aérien.
Chronologie
Début de la fenêtre d'exposition des données détenues par le prestataire informatique tiers gérant le programme Enrich.
Fin de la fenêtre d'exposition de neuf ans pour le jeu de données des membres Enrich concernés.
Malaysia Airlines commence à notifier aux membres Enrich un « incident de sécurité des données » chez un prestataire informatique tiers et recommande de changer les mots de passe.
Les médias rapportent que l'incident s'est étalé sur environ neuf ans ; la compagnie refuse de nommer le prestataire ou le nombre de membres concernés.
La fuite est rattachée à une vague plus large de compromissions de prestataires aériens tiers, dont un incident distinct chez SITA touchant les données passagers d'autres transporteurs.
Sources
- securitymagazine.comhttps://www.securitymagazine.com/articles/94738-malaysian-airlines-is-breached
- threatpost.comhttps://threatpost.com/malaysia-air-downplays-data-breach/164472/
- siliconangle.comhttps://siliconangle.com/2021/03/02/malaysia-airlines-discloses-frequent-flyer-data-breach-lasted-nine-years/
- itsecurityguru.orghttps://www.itsecurityguru.org/2021/03/05/malaysia-and-singapore-airlines-breached-in-third-party-hacks/
- loyaltylobby.comhttps://loyaltylobby.com/2021/03/01/malaysia-airlines-informs-enrich-members-about-data-leak-change-your-passwords/