De gegevens van 80.000 Transavia-passagiers werden overtreden in een cyberaanval

Als u nadenkt over de procedures die u doorloopt wanneer u zelfs alledaagse activiteiten zoals vliegreizen organiseert, beseft u misschien plotseling hoe vaak u uw gegevens moet overhandigen en hoe weinig u weet over wat er mee gebeurt. Zelfs als u liever persoonlijk tickets boekt en deze contant betaalt, moet u de luchtvaartmaatschappij uw persoonlijke gegevens verstrekken. De medewerker aan de andere kant van het bureau komt het ergens binnen en in de meeste gevallen krijgt u absoluut geen informatie over waar het naartoe gaat en hoe het wordt opgeslagen. Helaas, aangezien ongeveer 80 duizend klanten van Transavia nu kunnen getuigen, is het meestal omdat ze in gevaar zijn gebracht als u hoort hoe uw gegevens worden verwerkt.

Hackers hebben toegang gekregen tot de persoonlijke en vluchtgegevens van duizenden Transavia-klanten

Maandag heeft Transavia, een goedkope Nederlandse luchtvaartmaatschappij, toegegeven dat het een datalek heeft geleden. De melding werd verzonden naar alle 80 duizend getroffen passagiers, en hoewel er niet werd gezegd wanneer de aanval plaatsvond, werd bekendgemaakt om wat voor soort informatie het ging. De hackers wisten namen, geboortedata, boekingsnummers, vluchtgegevens en speciale vereisten in handen te krijgen. De luchtvaartmaatschappij wees er snel op dat de boeven geen toegang hadden tot creditcardgegevens, paspoorten, persoonlijke gegevens, fysieke en e-mailadressen of telefoonnummers.

Transavia is blijkbaar klaar met zijn onderzoek en heeft "geen reden om aan te nemen" dat tot nu toe misbruik is gemaakt van mogelijk gecompromitteerde informatie. Volgens de melding, gewapend met alleen uw naam, geboortedatum en vluchtgegevens, kunnen de boeven toch niet veel schade aanrichten.

Hoewel we volhouden dat de slachtoffers daarover kunnen oordelen, zullen we zeggen dat dit verre van de ergste datalek is die ooit is gemeld. Het aantal getroffen personen is niet zo groot en de potentieel gestolen informatie is niet bijzonder gevoelig. Er is echter veel meer dan dat.

Transavia bewaarde de persoonlijke gegevens van passagiers bijna vijf jaar in de inbox van een werknemer

De melding van datalek gaat vergezeld van enkele veelgestelde vragen, die ons een relatief duidelijk beeld geven van wat er precies is gebeurd. Blijkbaar hebben hackers "ongewenste" toegang verkregen tot de mailbox van een van de werknemers van Transavia, en daar hebben ze "een bestand met persoonlijke gegevens" gevonden.

In het dossier zagen de boeven de details van de meeste mensen die tussen 21 januari en 31 januari 2015 met Transavia vlogen. Om onduidelijke redenen, de passagiers die in die periode naar Egypte, Lapland en de Canarische eilanden reisden werden niet beïnvloed. Deze details zijn niet alleen zorgelijk voor de mensen die toegang hadden tot hun gegevens, maar ook voor iedereen die ooit met een commercieel vliegtuig heeft gereisd.

Transavia heeft niet gezegd hoe de boeven de mailbox van hun werknemers hebben weten te bereiken, maar het feit dat dit het eerste compromispunt was, suggereert dat het slachtoffer een zwak wachtwoord gebruikte of het doelwit was van een phishing-aanval. Het betekent vrijwel zeker dat het e-mailaccount niet werd beschermd met tweefactorauthenticatie.

Niemand is immuun voor cyberaanvallen, maar u kunt al enkele beveiligingsproblemen zien. Het ergste van alles is echter het feit dat de gegevens in de eerste plaats werden opgeslagen in de inbox van een e-mailaccount. En het werd daar opgeslagen voor meer dan vijf jaar.

Transavia heeft duidelijk een aantal behoorlijk gruwelijke fouten gemaakt in de omgang met persoonlijke gegevens van mensen. Dit betekent niet noodzakelijkerwijs dat andere luchtvaartmaatschappijen even nalatig zijn, maar het is moeilijk voor u om overtuigend bewijs te vinden dat dit niet het geval is, vooral in het licht van recente incidenten met cybersecurity waarbij bedrijven in dezelfde branche zijn betrokken.

De datalek in Transavia heeft waarschijnlijk geen bijzonder nadelig effect op de mensen die hun gegevens hebben gecompromitteerd, maar het zal hopelijk dienen als een herinnering aan hoe weinig we weten over de bedrijven die verantwoordelijk zijn voor de bescherming van onze informatie. Helaas kun je er tegenwoordig weinig aan doen.