AP beboet Transavia om slechte beveiliging die tot hack leidde

Transavia's beveiligingsbeleid kende drie zwakke punten, verklaart de Autoriteit Persoonsgegevens. De luchtvaartmaatschappij gebruikte eenvoudig te raden wachtwoorden voor twee accounts van de IT-afdeling, er was geen tweestapsverificatie ingeschakeld en de accounts gaven toegang tot een groter aantal Transavia-systemen dan noodzakelijk. 

Zo'n 83 duizend personen getroffen 

De aanvaller drong in september 2019 binnen in de Transavia-systemen. De luchtvaartmaatschappij merkte de hack na een maand op en had vervolgens een maand nodig om de lekken te dichten. Transavia heeft de toezichthouder en betrokkenen direct geïnformeerd, liet een extern bedrijf onderzoek uitvoeren en heeft verschillende beveiligingsmaatregelen genomen om herhaling te voorkomen. 

Het onderzoek van de Autoriteit Persoonsgegevens maakt duidelijk dat de aanvaller de gegevens van zo'n 83 duizend personen - grotendeels passagiers en enkele duizenden medewerkers - heeft gedownload. Onder de gegevens vallen onder meer voor- en achternamen, geboortedata en vluchtinformatie. Van 367 passagiers is ook medische informatie gelekt, bijvoorbeeld dat zij doof of blind zijn. De Autoriteit Persoonsgegevens denkt dat zo'n negentig procent van de getroffen personen uit Nederland komt. 

Datalek raakt mogelijk 25 miljoen personen 

De kans bestaat dat het datalek veel groter is dan zo'n 83 duizend personen. De aanvaller had namelijk toegang tot de persoonsgegevens van liefst 25 miljoen passagiers, geeft de toezichthouder aan. "Er zijn geen aanwijzingen dat de hacker deze gegevens ook heeft ingezien of gekopieerd, maar die mogelijkheid was er wel door de slechte beveiliging", meldt de blogpost.

Het is niet meer vast te stellen of de hacker iets met de miljoenen gegevens gedaan heeft omdat hij verschillende logbestanden verwijderd heeft, meldt Tweakers op basis van de 25 pagina's tellende brief van de Autoriteit Persoonsgegevens aan Transavia.