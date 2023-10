A companhia aérea espanhola Air Europa está a pedir a alguns dos seus clientes para cancelarem os cartões de crédito depois de detectar uma violação de segurança no seu sistema de pagamentos online. Antes de ser barrado, o ataque pode ter permitido a extracção do número, prazo de validade e número de segurança (CVV; números no verso) de vários cartões. O Instituto Nacional de Cibersegurança espanhol e a Agência Espanhola de Protecção de Dados já estão a par da ocorrência.

A informação sobre o ciberataque começou a circular na Internet depois de vários clientes afectados usarem a plataforma X (antigo Twitter) para partilhar emails da Air Europa. Nas mensagens, a empresa pede aos clientes para cancelarem os seus cartões de crédito devido a um “possível acesso não autorizado” a dados bancários.

Contactada pelo PÚBLICO, a equipa da Air Europa confirma a existência de um “problema de segurança” no “fluxo de pagamentos”, mas frisa que os atacantes não obtiveram acesso a dados pessoais dos clientes – apenas números associados aos cartões de créditos.

A empresa não diz se há clientes portugueses afectados, nem quantos cartões de crédito foram comprometidos. “Ainda estamos a analisar o que aconteceu, como a origem do ataque ou a utilização das informações roubadas”, lê-se no email enviado ao PÚBLICO. “Até à data, não há provas de que estes dados, que não estão armazenados nos nossos sistemas, tenham sido utilizados para cometer qualquer fraude”, continua a empresa notando que a “detecção e a rápida intervenção da equipa” de segurança permitiu bloquear rapidamente a violação e “evitar mais fugas de dados”.

Especialistas de cibersegurança descrevem a atitude da AirEuropa como “prudente”. “Ainda não há muita informação. Segundo o que sabemos, foi um ataque direccionado ao sistema de pagamentos”, explica ao PÚBLICO Diogo Carapinha, consultor da empresa de cibersegurança VisionWare. “Não é um ataque comum. Normalmente o que acontece é quase um varrimento total de tudo o que são dados sobre os clientes. Foi o que aconteceu na TAP. Na Air Europa parece ter sido mais localizado, mas são dados críticos. É o dinheiro das pessoas.”

A informação extraída pode ser facilmente utilizada. “Se os criminosos têm acesso completo ao CVV, é fácil usar os cartões pagamento. Embora vários sites já tenham um processo de verificação a dois a dois passos, em que o cliente tem de confirmar a compra com o telemóvel, em algumas páginas isso não acontece”, detalha Carapinha. “A Air Europa fez bem em comunicar a situação aos clientes. É uma questão de prudência.”

A Air Europa, fundada em 1986, é uma empresa do grupo de turismo Globalia com voos nacionais, europeus e transoceânicos. Lisboa é uma das cidades europeias em que a companhia opera. O grupo Globalia está a colaborar com as autoridades espanholas para perceber a dimensão e os motivos por detrás do ataque à Air Europa; aAgência Estatal de Segurança Aérea também foi notificada.