Aanvallers zijn erin geslaagd om e-mailaccounts van American Airlines-medewerkers over te nemen, om daarmee vervolgens phishingmails te versturen. Dat laat de grootste luchtvaartmaatschappij ter wereld weten. Eerder deze maand waarschuwde American Airlines klanten en medewerkers voor een datalek, nadat verschillende medewerkers in een phishingmail waren getrapt.

Het bedrijf heeft in een brief aan de procureur-generaal van de Amerikaanse staat New Hampshire iets meer details over de aanval gegeven (pdf). De aanval werd ontdekt nadat verschillende personen lieten weten dat ze phishingmails van een American Airlines-account hadden ontvangen. Verder onderzoek wees uit dat de aanvaller verschillende Microsoft 365-accounts van de luchtvaartmaatschappij had gecompromitteerd en gebruikt voor phishing.

Volgens American Airlines maakte de aanvaller gebruik van het IMAP-protocol om de mailboxes te benaderen, waarin ook persoonsgegevens stonden. "Het gebruik van dit protocol maakte het mogelijk voor de aanvaller om de inhoud van de mailboxes naar een ander apparaat te synchroniseren." Dit zou echter niet het doel van de aanval zijn geweest, aldus de brief aan de procureur-generaal. De aanvaller zou het IMAP-protocol hebben gebruikt om toegang tot de accounts te krijgen en zo verdere phishingmails te versturen.

Verder zou de aanvaller mogelijk ook toegang tot bepaalde bestanden op een SharePoint-site voor personeel hebben gekregen. American Airlines denkt dat de kans op misbruik van gestolen identiteitsgegevens klein is. Het datalek zou 1700 klanten en medewerkers hebben getroffen. Die krijgen twee jaar lang gratis kredietmonitoring aangeboden. Ook heeft de luchtvaartmaatschappij aangegeven dat het aanvullende beveiligingsmaatregelen gaat nemen.