Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

stakeholder

Il caso Qantas Airways e l’importanza della supply chain

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Indirizzo copiato

L’attacco a Qantas Airways ha compromesso i dati di 5,7 milioni di clienti. L’origine dell’incidente sarebbe da ricondurre a un partner commerciale della compagnia aerea. Cosa vuole dire e come limitare i rischi

Pubblicato il 23 lug 2025
Giuditta Mosca

Giornalista, esperta di tecnologia

Qantas Airways ha avuto un problema con la supply chain da cui è scaturito un leak di dati di 5,7 milioni di clienti
wallpaperflare.com

Ai 5,7 milioni di clienti i cui dati sono stati esposti interessa relativamente chi sia l’untore che ha permesso l’attacco a Qantas Airways.

Questo primo assunto è ambivalente: la scelta dei partner commerciali fa parte della strategia aziendale e il rimbalzo di responsabilità non cambia la situazione.

Non da ultimo, per quanto limitato, il contraccolpo si è fatto sentire anche in borsa, con un calo del prezzo dei titoli della compagnia aerea australiana a ridosso dell’annuncio della violazione, intercettata durante la sera del 30 giugno scorso e resa pubblica il giorno dopo.

L’origine della violazione sarebbe stata individuata in un call center assoldato da Qantas e i criminal hacker, per portare a termine il loro piano, avrebbero usato tecniche di vishing (voice phishing).

Cyber security della supply chain: strumenti, approcci e soluzioni

Il caso Qantas

Il 30 giugno i sistemi di Qantas sono stati violati e la compagnia aerea, come vedremo sotto, ha subito avviato un piano di risposta che appare adeguato. Ciò non toglie, come del resto comunica la stessa Qantas, non c’è contezza certa dei dati sottratti e appare esserci un certo disordine nei database della compagnia aerea.

Questa non è solo faccenda che deve finire sulle scrivanie dei data specialist, una raccolta dei dati caotica coincide con una loro conservazione perfettibile. Un humus prolifero per i criminal hacker.

Come scritto sopra, sarebbe un anello della filiera – nello specifico un call center terzo – l’epicentro della violazione che si è riverberata fino all’infrastruttura di Qantas, messa in atto dal collettivo Scattered Spider, già noto nel panorama dei gruppi criminali.

I cyber criminali avrebbero preso di mira un call center e hanno ottenuto l’accesso a una piattaforma di assistenza contenente nomi, indirizzi email, numeri di telefono, date di nascita e numeri di frequent flyer dei clienti Qantas.

L’importanza della supply chain e della cultura del dato

È lecito attendersi dalle aziende che pretendano dai partner commerciali delle garanzie in materia di cyber security e, inoltre, è insufficiente il fatto che – stando a Qantas – il gruppo di cyber criminali non è entrato in possesso dei numeri delle carte di credito e delle credenziali d’accesso al portale della compagnia dei 5,7 milioni di clienti i cui dati sono stati violati.

Non tocca a chi subisce un attacco stabilire quali dati sono sensibili e quali invece no, a patto che abbia senso assegnare valori differenti ai dati dei clienti.

Qantas Airways, essendo azienda di diritto australiano, non è direttamente soggetta alla direttiva NIS2, almeno in linea teoria. Infatti, qualora la compagnia aerea avesse infrastrutture digitali oppure sedi di servizi rilevanti all’interno dell’Unione europea, la NIS2 sarebbe applicabile.

A prescindere dal caso specifico, la direttiva NIS2 obbliga le imprese a valutare e a gestire i rischi di sicurezza lungo tutta la filiera. Non di meno, sono responsabili anche di ciò che accade presso i fornitori definiti critici, soprattutto se trattano dati sensibili.

Questo implica una supervisione di tutta la supply chain, così come dice espressamente gli articoli 20 e 21.2 al comma E, ai quali si aggiunge il considerando 86 che impone alle imprese di scegliere con cura i propri partner.

Al di là delle imposizioni di legge, va anche preso in esame il fatto che – così come riporta Reuters – pochi giorni prima della violazione, il Federal Bureau of Investigation (FBI) americano aveva avvertito che il collettivo Scattered Spider si stava concentrando proprio sulle compagnie aeree, riuscendo a colpire prima Hawaiian Airlines e poi la canadese WestJet.

La risposta di Qantas

Qantas dice di avere contenuto l’incidente, applicando tutte le procedure del caso, fornendo supporto ai clienti i cui dati sono stati violati e coinvolgendo le autorità competenti, tra agenzie per la sicurezza e tribunali ordinari.

Se, dal punto di vista formale, la compagnia aerea si è comportata in modo impeccabile, restano irrisolti alcuni aspetti che meritano un approfondimento.

La supply chain e la sua protezione

Una delle note dolenti è la supervisione della supply chain a cui le imprese dovrebbero prestare più attenzione.

Affrontiamo l’argomento con l’aiuto di Pierluigi Paganini, Ceo Cybhorus e Direttore dell’Osservatorio sulla cyber security Unipegaso.

La prima questione da affrontare non è tecnologica ma pratica. È utile capire se a una persona i cui dati sono stati violati interessa davvero quale anello della filiera si è mostrato fatale: “Purtroppo no, se ci riferiamo alla maggior parte degli utenti in rete. All’utente finale interessa una sola cosa: i dati sottratti rappresentano una minaccia? Il fatto che la colpa sia di un call center terzo in outsourcing, di un fornitore cloud o del software usato per la gestione dei ticket è irrilevante sul piano emotivo e reputazionale.

Il brand con cui l’utente ha un rapporto, in questo caso Qantas, è l’unico responsabile percepito. Da questa entità l’utente si aspetta chiarimenti ed il supporto necessario a limitare danni e mitigare la minaccia.

Tanto più se non c’è una comunicazione trasparente, immediata e umana da parte dell’azienda. L’effetto finale per il cliente è una sensazione di tradimento della fiducia, indipendentemente da chi materialmente sia responsabile dell’accaduto”, spiega Paganini.

Eppure, gli approcci funzionali e tecnologici per supervisionare la supply chain sono diversi.

Li elenchiamo per comodità, sottolineando che sono stati riportati da Pierluigi Paganini, secondo la cui voce “il termine chiave è resilienza di filiera digitale”:

  • Due diligence e Audit proattivi. Verifiche continue sui fornitori terzi: sicurezza dei dati, protocolli di accesso, crittografia, log delle operazioni. Non basta più firmare un contratto con clausole standard, servono controlli periodici e continui.
  • Zero Trust Architecture. Non fidarsi neanche degli attori interni. Ogni accesso deve essere verificato, validato e monitorato. I fornitori hanno accesso solo ai dati strettamente necessari per la funzione che svolgono.
  • Data minimization. Limitare la quantità di dati accessibili dai fornitori.
  • Gestione della crisi e comunicazione trasparente. Preparare piani di risposta per incidenti che includano fornitori terzi e testarli periodicamente.
  • Trasferimento del rischio. Mediante Assicurazioni cyber e responsabilità contrattuali. Polizze specifiche per coprire anche danni da fornitori terzi. E contratti ben scritti, con clausole di responsabilità e penali in caso di violazione.

Questo elenco è più di un vademecum e dovrebbe essere adottato da ogni organizzazione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Giuditta Mosca
Giornalista, esperta di tecnologia
Giornalista, esperta di tecnologia

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • WhatsApp nel mirino di una nuova campagna di spyware: come mitigare il rischio

  • spyware

    Zero-click in WhatsApp consente di spiare gli utenti iPhone, macOS ed Android: update urgente

    01 Set 2025

    di Mirella Castigli

    Condividi
  • Autenticazione via Passkey: cos'è e come funziona

  • Passwordless

    Passkey: cos'è e come funziona

    03 Apr 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Il settore manifatturiero italiano è sotto la lente del criminal hacking. Perché è quali sono i rimedi

  • geopolitica

    La cyber crisi del settore manifatturiero italiano: scenari e strumenti di difesa

    14 Nov 2025

    di Giuditta Mosca

    Condividi
  • soluzione anti-vishing

  • la soluzione

    Autenticazione e tracciabilità nelle comunicazioni: così si contrasta il vishing

    03 Nov 2025

    di Alessia Valentini

    Condividi