AP beboet Transavia om slechte beveiliging persoonsgegevens
De Autoriteit Persoonsgegevens (AP) legt luchtvaartmaatschappij Transavia een boete op van 400.000 euro, wegens het slecht beveiligen van persoonsgegevens. Door die slechte beveiliging kon een hacker in 2019 de systemen van Transavia binnendringen. Daarbij had de hacker toegang tot systemen waarin hij gegevens van 25 miljoen mensen had kunnen inzien. Vastgesteld is dat de hacker persoonsgegevens van zo’n 83.000 personen downloadde.
"Als jij een vlucht boekt, vertrouw jij de luchtvaartmaatschappij persoonsgegevens toe", zegt AP-bestuurslid Katja Mur. "De luchtvaartmaatschappij heeft die gegevens nodig om jouw vlucht te regelen. Maar jouw gegevens zijn ook heel handig voor oplichters, die de gegevens kunnen gebruiken voor identiteitsdiefstal. Of om jou geld afhandig te maken via bijvoorbeeld WhatsApp-fraude. Dus jij moet er wel vanuit kunnen gaan dat die luchtvaartmaatschappij erg voorzichtig met jouw data omgaat en die uitermate goed beveiligt. Dat bleek bij Transavia niet het geval."
Wachtwoord makkelijk te raden
De hacker drong in september 2019 binnen in de systemen van Transavia, door 2 accounts van de IT-afdeling van het bedrijf te gebruiken. Dat bleek veel te makkelijk te gaan. De beveiliging was namelijk op 3 punten niet op orde:
- Het wachtwoord was makkelijk te raden.
- Alleen dat wachtwoord bleek voldoende om het systeem binnen te komen. Er was geen zogeheten meerfactorauthenticatie. Daarbij moet een persoon of systeem op minimaal 2 verschillende manieren inloggen om toegang te krijgen. Bijvoorbeeld met een wachtwoord én met een code die je per sms ontvangt.
- Toen de hacker eenmaal de controle had over deze 2 accounts, had hij ook toegang tot een groot aantal systemen van Transavia. De toegang van deze 2 accounts was namelijk niet beperkt tot alleen de noodzakelijke systemen.
25 miljoen personen
De hacker drong in september 2019 binnen in het systeem van Transavia. Dit duurde tot eind november 2019, toen Transavia het lek dichtte. Transavia heeft het datalek tijdig bij de AP gemeld en de betrokkenen geïnformeerd. Transavia heeft na kennisname van het datalek direct vele maatregelen genomen om persoonsgegevens beter te beschermen.
De hacker heeft persoonsgegevens van 25 miljoen passagiers kunnen inzien. Dit ging om naam, geboortedatum, geslacht, e-mailadres, telefoonnummer en vlucht- en boekingsgegevens. Er zijn geen aanwijzingen dat de hacker deze gegevens ook heeft ingezien of gekopieerd, maar die mogelijkheid was er wel door de slechte beveiliging.
Persoonsgegevens gedownload
De hacker heeft wél persoonsgegevens van ongeveer 83.000 mensen gedownload. Hieronder was een lijst met passagiersgegevens uit 2015, met daarin namen, geboortedata en vluchtinformatie. Maar ook medische gegevens van 367 mensen. Zij gaven bijvoorbeeld aan een rolstoel mee te nemen op hun vlucht of vroegen extra hulp omdat ze blind of doof zijn.
Zeer ernstig
Mur: "Het is zeer ernstig dat een hacker toegang kon hebben tot persoonsgegevens van miljoenen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord. Echt een wachtwoord dat al jaren bovenaan staat in de lijstjes met meest gebruikte wachtwoorden, in de trant van '123456', 'welkom' en 'wachtwoord'. En dat niet alleen: andere belangrijke drempels om het een hacker moeilijk te maken, ontbraken ook."
Explosieve toename datadiefstal
De AP signaleerde in 2020 een explosieve toename van het aantal hacks gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met maar liefst 30% ten opzichte van 2019. Dat blijkt uit de Rapportage Datalekken 2020. Datadiefstal is vaak te voorkomen door een betere beveiliging.
Internationaal onderzoek
Het onderzoek naar Transavia was een internationaal onderzoek. Het gaat om een internationaal bedrijf met klanten uit verschillende landen. Transavia heeft zijn hoofdvestiging in Nederland. Daarom voerde de AP dit onderzoek uit. Omdat het om een internationale kwestie gaat, heeft de AP het onderzoek afgestemd met de andere Europese privacytoezichthouders.
Hoe nu verder?
Transavia is niet in bezwaar gegaan tegen de boete. De boete is dus definitief.