Forget Firewalls — Hack the Supplier: The Iberia Attack Blueprint Revealed

2025年11月23日，西班牙航空公司披露了一起安全事件，起因是未经授权访问了第三方供应商/厂商的系统。该航空公司通知受影响的客户，某些个人数据可能已被泄露。根据通知，泄露的信息可能包括姓名、电子邮件地址和常旅客卡识别号。西班牙航空公司明确表示，账户登录凭据/密码以及支付卡或银行数据并未泄露。

攻击范围与背景

在披露此事件前不久，黑客论坛上的一个威胁行为者声称拥有据称从西班牙航空公司提取的77 GB数据，并开价15万美元出售。据称的内容不仅包括客户数据，还包括与飞机维护相关的技术文档、发动机数据、内部运营文件。 西班牙航空公司确认，泄露事件源于供应商的系统被入侵，而非其自身核心系统。供应商的身份以及受影响的特定系统尚未公开披露。 该航空公司在公开声明（据称数据被盗的数天后）后不久便开始通知客户，但并未透露最初入侵的具体日期。

攻击分类与技术归因

此次事件符合供应链/供应商入侵的场景，即攻击者将外部供应商而非主要组织本身作为直接目标。 根据一项公开分析，攻击者可能利用了映射到MITRE ATT&CK框架中以下技巧的方法：

• T1195（供应链入侵）——通过入侵供应商/厂商来接触主要受害者。
• T1567.002（通过Web服务外泄数据）——将数据从被入侵的环境中外泄到外部位置。

一些未经证实的公开评论表明，攻击者可能利用了面向公众的应用程序或使用了有效/被盗的凭据来获取供应商基础设施的访问权限（例如，一些分析中提到了类似T1078（有效账户）或T1190（利用面向公众的应用程序）的技巧）。 然而，这一点很重要：尚未发布任何具体的取证指标（例如，恶意软件样本、哈希值、C2基础设施、漏洞利用细节）。关于初始访问方法的信息仍然是推测性的。供应商名称、系统名称和日志也尚未公开披露。

已确认的数据泄露

唯一确认被泄露的数据要素是客户姓名、电子邮件地址和常旅客卡ID。 根据渗透测试专家的说法，已确认凭据（用户密码）和金融/支付卡数据未泄露。 目前没有官方确认，声称待售的、包含内部文件和飞机维护数据的77 GB更大数据包，与西班牙航空公司承认已泄露的数据完全重合。

威胁行为者与动机

威胁行为者的身份仍然未知；未做出任何公开归因。 该行为者公开宣传数据以获取经济利益（15万美元），将其定位为适合转售、间谍活动或出售给国家行为体。 据称的数据集——包含据称的内部技术和运营文档——将引起竞争对手情报、工业间谍活动或针对供应链的威胁场景的兴趣。

结论

影响西班牙航空公司的这次入侵事件似乎是一个典型的供应链入侵案例：外部供应商的系统被入侵，导致客户信息（姓名、电子邮件、常旅客卡ID）被未经授权外泄。航空公司确认没有损失凭据或支付数据。一个威胁行为者据称拥有更大范围的数据——包括技术/运营文件——但这部分内容仍未得到证实。没有技术取证数据被发布，攻击媒介也仍未明确。就目前而言，公开的事实有限，主要包括客户通知、西班牙航空公司的声明以及威胁行为者在论坛上的列表。