Transavia krijgt stevige boete na datalek 25 miljoen klanten
Het is de Nederlandse Autoriteit Persoonsgegevens (AP) die de vliegmaatschappij Transavia (onderdeel van de Air France-KLM-groep) de boete oplegt. Dat meldt RTL Nieuws. Dat hackers in 2019 toegang hadden gekregen tot de gegevens van 25 miljoen passagiers, is pure nalatigheid, zo oordeelt de AP nu. Te simpele wachtwoorden en andere beveiligingsfouten liggen aan de oorzaak van het hack, aldus de waakhond.
Gegevens 83.000 mensen gedownload
De hackers waren erin geslaagd om twee accounts van IT-personeel te hacken. Op die manier kregen ze toegang tot de persoonsgegevens van maar liefst 25 miljoen klanten, zoals naam, geslacht, geboortedatum, e-mailadres, telefoonnummer en de vlucht- en boekingsgegevens. Hoewel de hackers dus data van 25 miljoen passagiers ingekeken zouden kunnen hebben, zegt de AP dat er geen aanwijzingen zijn dat ze dat ook deden. Wel hebben de hackers de gegevens van 83.000 klanten gedownload. Het zou daarbij onder meer gaan om een lijst met passagiersgegevens uit 2015
Nalatigheid bij wachtwoordbeheer
De AP concludeerde dat de beveiliging bij Transavia op drie punten niet voldeed. De toegang van de twee gehackte accounts was niet beperkt tot de noodzakelijke systemen. De wachtwoorden waren ook te makkelijk te raden en bij de toegang tot de accounts kwam geen meerfactor-authenticatie te pas.
“Je moet ervan uit kunnen gaan dat een luchtvaartmaatschappij erg voorzichtig met jouw data omgaat en die uitermate goed beveiligt. Dat bleek bij Transavia niet het geval”, zegt AP-bestuurslid Katja Mur aan RTL Nieuws. Het bewuste datalek werd in november 2019 gedicht door Transavia. AP geeft tot slot nog mee dat de luchtvaartmaatschappij niet in beroep gaat tegen de boete van 400.000 euro.
