Het kostte de crimineel weinig moeite op het netwerk van Transavia te komen en daar uitgebreid in gegevens te neuzen. Via een eenvoudig te raden wachtwoord – uit de categorie ‘123456′ en ‘Welkom’ – verkreeg hij toegang tot het bedrijf. Daarnaast hoefde de hacker bij twee bedrijfsaccounts geen extra beveiligingscode in te voeren. En eenmaal ingelogd kwam hij te eenvoudig op veel verschillende systemen. Dat meldt de Autoriteit Persoonsgegevens (AP). Die spreekt van een ‘zeer ernstig’ datalek.

,,Je moet er vanuit kunnen gaan dat een luchtvaartmaatschappij erg voorzichtig met jouw data omgaat en die uitermate goed beveiligt. Dat bleek bij Transavia niet het geval”, schrijft AP-bestuurslid Katja Mur in een toelichting op de boete. Gestolen persoonsgegevens zijn door criminelen te gebruiken voor gerichte digitale oplichting en identiteitsfraude.

25 miljoen passagiers

De crimineel wist op 12 september 2019 digitaal in te breken, onder meer via Citrix-software waarmee medewerkers vanuit huis kunnen inloggen. Door het ontbreken van een deugdelijk wachtwoord kon hij twee bedrijfsaccounts kraken en kreeg daarmee toegang tot een groot deel van het netwerk van Transavia. De inbraak werd op 21 oktober door een beheerder ontdekt en enkele dagen later bij de AP gemeld. Daarna zou geen activiteit van de inbreker meer zijn waargenomen.

In de ruim vijf weken dat hij het netwerk doorzocht, kopieerde hij uit zes mailboxen van medewerkers en een oud-medewerker 49 bestanden. Mogelijk zag de crimineel over het hoofd dat hij data van 25 miljoen mensen binnen handbereik had. De 49 bestanden die hij wel vond, bevatten de namen, geboortedata en vluchtinformatie van 80.000 passagiers die tussen 21 tot 31 januari 2015 met Transavia vlogen. Bij 360 passagiers stond erbij dat ze een rolstoel gebruikten of blind of doof waren. Daarnaast stal de crimineel namen, adressen en telefoonnummers van zo’n 3000 medewerkers. Of gegevensdiefstal het doel van de inbraak was of een mogelijke voorbode van gijzelsoftware, is volgende de AP onduidelijk.

Verouderde systemen en slecht speurwerk

Uit onderzoek na de inbraak bleek ook dat verschillende computers van Transavia op verouderde besturingssystemen draaiden en dat op het bedrijfsnetwerk onvoldoende gespeurd werd naar mogelijke inbrekers. Ook konden gebruikers op bepaalde systemen tijdens het inloggen zelf bepalen naar welk telefoonnummer een controle-sms werd gestuurd.

Transavia is volgens de AP niet in bezwaar gegaan. Het bedrijf heeft de beveiliging na de inbraak opgeschroefd en meldt aan de AP geen meldingen van klanten of medewerkers te hebben gekregen over gegevensmisbruik.

Bron: ad.nl