事件概述

2025年11月23日，伊比利亚航空披露了一起安全事件，该事件源于其一家第三方供应商/厂商的系统遭到未经授权的访问。航空公司告知受影响的客户，部分个人信息可能已被泄露。根据通知，泄露的信息可能包括姓名、电子邮件地址和常旅客卡识别号码（伊比利亚俱乐部）。伊比利亚航空明确表示，账户登录凭据/密码以及支付卡或银行数据并未受损。

范围与背景

此次披露紧随一名威胁行为者在黑客论坛上声称持有据称从伊比利亚航空窃取的77 GB数据之后，该数据包标价15万美元出售。据称内容不仅包括客户数据，还有与飞机维护、发动机数据、内部运营文件相关的技术文档。 伊比利亚航空确认泄露源自供应商系统遭入侵，而非其自身核心系统。供应商身份及受影响的具体系统尚未公开披露。 航空公司在公开声明后不久（据称数据被盗数天后）开始通知客户，但并未透露首次入侵的具体日期。

攻击分类与技术归因

此次事件符合供应链/供应商入侵的攻击场景，即攻击者直接针对外部供应商，而非主要组织本身。 根据一项公开分析，攻击者可能利用了与以下MITRE ATT&CK框架技术相符的手法：

• T1195（供应链妥协） —— 通过入侵供应商/厂商来接近主要受害者。
• T1567.002（通过Web服务外泄） —— 将被盗数据从受入侵环境转移至外部位置。

一些未经证实的公开评论推测，攻击者可能利用了面向公众的应用程序漏洞，或使用了有效/被盗的凭据来获取供应商基础设施的访问权限（例如，一些分析中提到了类似T1078（有效账户）或T1190（利用面向公众的应用程序）的技术）。 然而，必须明确的是，目前尚未公布任何具体的取证指标（例如，恶意软件样本、哈希值、C2基础设施、漏洞利用细节）。关于初始入侵方式的信息仍是推测性的。供应商名称、系统名称和日志也未公开披露。

已确认的数据泄露

唯一确认泄露的数据要素是客户姓名、电子邮件地址和伊比利亚俱乐部常旅客卡ID。 根据渗透测试专家确认，用户凭证（密码）和财务/支付卡数据并未受损。 目前没有官方证实，那个声称出售的包含内部文档和飞机维护数据的更大77 GB数据包，与伊比利亚航空承认泄露的数据完全重合。

威胁行为者与动机

威胁行为者的身份仍然未知；没有进行任何公开归因。 该行为者公开宣传出售数据以获取经济利益（15万美元），称其适合转售、间谍活动或出售给国家行为体。 据称包含内部技术和运营文档的数据集，对竞争对手情报、工业间谍活动或针对供应链的威胁场景具有潜在价值。

结论

影响伊比利亚航空的此次泄露事件似乎是典型的供应链入侵案例：一家外部供应商的系统遭到破坏，导致客户信息（姓名、电子邮件、常旅客卡ID）被未经授权地外泄。航空公司确认未丢失凭证或支付数据。一名威胁行为者声称拥有更大量的数据（包括技术/运营文档），但这部分内容尚未得到验证。目前没有技术取证数据公布，攻击途径也仍未明确。就目前而言，公开可获得的事实有限，主要包括客户通知、伊比利亚航空的声明以及威胁行为者在论坛上的帖子。