En weer is het prijs. Luchtvaartmaatschappij Transavia krijgt een boete van de Autoriteit Persoonsgegevens (AP), waartegen ze niet in bezwaar gegaan zijn, van 400.000 euro. Slechte beveiliging van persoonsgegevens was de oorzaak. In 2019 kon een hacker in de systemen van Transavia binnendringen, die daarbij toegang had tot systemen waarin hij gegevens van zo’n 25 miljoen mensen had kunnen inzien. Er is evenwel vastgesteld is dat de hacker persoonsgegevens van zo’n 83.000 personen downloadde. De hacker drong in september 2019 binnen in de systemen van Transavia, door twee accounts van de IT-afdeling van het bedrijf te gebruiken. Dat bleek veel te makkelijk te gaan.
Het duurde tot eind november 2019, toen Transavia het lek dichtte. Transavia heeft na kennisname van het datalek direct maatregelen genomen om persoonsgegevens beter te beschermen. De hacker heeft persoonsgegevens van 25 miljoen passagiers kunnen inzien, zoals naam, geboortedatum, geslacht, e-mailadres, telefoonnummer en vlucht- en boekingsgegevens.
De beveiliging was op drie punten niet op orde. Het wachtwoord was gemakkelijk te raden en alleen dat wachtwoord bleek voldoende te zijn om het systeem binnen te komen. Er was geen zogeheten meer factor authenticatie. Daarbij moet een persoon of systeem op minimaal twee verschillende manieren inloggen om toegang te krijgen. Bijvoorbeeld met een wachtwoord én met een code die je per sms ontvangt. Toen de hacker eenmaal de controle had over deze twee accounts, had hij ook toegang tot een groot aantal systemen van Transavia. De toegang van deze twee accounts was namelijk niet beperkt tot alleen de noodzakelijke systemen.
Katja Mur, bestuurslid van de AP: “Als jij een vlucht boekt, vertrouw jij de luchtvaartmaatschappij persoonsgegevens toe. De luchtvaartmaatschappij heeft die gegevens nodig om jouw vlucht te regelen. Maar jouw gegevens zijn ook heel handig voor oplichters, die de gegevens kunnen gebruiken voor identiteitsdiefstal. Of om jou geld afhandig te maken via bijvoorbeeld WhatsApp-fraude. Dus jij moet er wel vanuit kunnen gaan dat die luchtvaartmaatschappij erg voorzichtig met jouw data omgaat en die uitermate goed beveiligt. Dat bleek bij Transavia niet het geval.”
De AP signaleerde in 2020 een explosieve toename van het aantal hacks gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met maar liefst 30% ten opzichte van 2019. Dat blijkt uit de Rapportage Datalekken 2020. Datadiefstal is vaak te voorkomen door een betere beveiliging. Het onderzoek naar Transavia was een internationaal onderzoek.
