24 november 2024
Thumbnail voor Vier ton boete voor Transavia na datalek, luchtvaartmaatschappij gaat niet in beroep

Vier ton boete voor Transavia na datalek, luchtvaartmaatschappij gaat niet in beroep

DEN HAAG - Transavia moet een boete van 400.000 euro betalen na een datalek in 2019, waarbij een hacker de persoonsgegevens van 83.000 personen kon downloaden. Dat heeft de Autoriteit Persoonsgegevens (AP) bekendgemaakt. Transavia heeft geen bezwaar aangetekend tegen de boete.

Volgens de AP had Transavia de persoonsgegevens niet afdoende beveiligd. “Als jij een vlucht boekt, vertrouw jij de luchtvaartmaatschappij persoonsgegevens toe”, zegt AP-bestuurslid Katja Mur. “De luchtvaartmaatschappij heeft die gegevens nodig om jouw vlucht te regelen.”

“Maar jouw gegevens zijn ook heel handig voor oplichters, die de gegevens kunnen gebruiken voor identiteitsdiefstal. Of om jou geld afhandig te maken via bijvoorbeeld WhatsApp-fraude. Dus jij moet er wel vanuit kunnen gaan dat die luchtvaartmaatschappij erg voorzichtig met jouw data omgaat en die uitermate goed beveiligt. Dat bleek bij Transavia niet het geval.”

Makkelijk te raden
De hacker drong in september 2019 binnen in de systemen van Transavia, door twee accounts van de IT-afdeling van het bedrijf te gebruiken. Dat bleek volgens de AP veel te makkelijk te gaan. De beveiliging was op drie punten niet op orde: het wachtwoord was makkelijk te raden, een meerfactorauthenticatie ontbrak en toen de hacker eenmaal de controle had over deze twee accounts, had hij ook toegang tot een groot aantal systemen van Transavia.

De hacker heeft de persoonsgegevens van 25 miljoen passagiers kunnen inzien. Dit ging om naam, geboortedatum, geslacht, e-mailadres, telefoonnummer en vlucht- en boekingsgegevens. Er zijn volgens de AP geen aanwijzingen dat de hacker deze gegevens daadwerkelijk heeft ingezien of gekopieerd, maar die mogelijkheid was er wel door de slechte beveiliging.

Duidelijk is dat de hacker de persoonsgegevens van ongeveer 83.000 mensen heeft gedownload. Hieronder was een lijst met passagiersgegevens uit 2015, met daarin namen, geboortedata en vluchtinformatie. Ook de medische gegevens van 367 mensen stonden daarin.

'Zeer ernstig'
AP-bestuurslid Mur noemt het “zeer ernstig” dat een hacker toegang kon hebben tot persoonsgegevens van miljoenen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord. “Het ging volgens haar om een wachtwoord dat al jaren bovenaan staat in de lijstjes met meest gebruikte wachtwoorden, in de trant van ‘123456’, ‘Welkom’ en ‘wachtwoord’.

Eind november 2019 dichtte Transavia het lek. De luchtvaartmaatschappij heeft het datalek tijdig bij de AP gemeld en de betrokkenen geïnformeerd en heeft na kennisname direct vele maatregelen genomen om persoonsgegevens beter te beschermen, zo meldt de autoriteit.

Transavia meldt in een reactie aan deze site dat het de passagiers die het betreft begin 2020 al heeft geïnformeerd, “zowel rechtstreeks als via de media”. “Ondanks dat het om gegevens uit begin 2015 gaat en er geen gevoelige data zoals adresgegevens, creditcardinformatie of paspoortinformatie in zaten, betreuren wij het zeer dat dit ons, net als andere organisaties, heeft kunnen gebeuren.“

Experts ingeschakeld
Het KLM-dochterbedrijf zegt na de ontdekking van deze ongewenste toegang direct externe experts te hebben ingeschakeld. Het lek werd zoals gezegd gedicht en reeds geplande maatregelen zijn versneld doorgevoerd. “Daarnaast hebben we, zoals ook door de AP in haar besluit wordt geconcludeerd, aanvullend een veelvoud aan maatregelen genomen. We blijven continu investeren om herhaling in de toekomst te voorkomen.”