Blogposts

Blog

Geplaatst op vrijdag 12 november 2021 @ 23:24 door Travelboy , 39 keer bekeken

Transavia heeft van de Autoriteit Persoonsgegevens een boete van 400.000 euro gekregen vanwege de slechte beveiliging van persoonsgegevens. Een hacker wist door die slechte beveiliging in 2019 gegevens van zo'n 83.000 personen te kopiëren.

 

De Autoriteit Persoonsgegevens zegt dat de beveiliging van Transavia op drie punten niet op orde was. Zo was het wachtwoord makkelijk te raden, 'in de trant van 123456, welkom en wachtwoord'. De aanvaller wist daardoor toegang te krijgen tot twee accounts, die allebei met hetzelfde, zwakke wachtwoord waren beveiligd. Om toegang te krijgen tot die accounts gebruikte de aanvaller password spray en credential stuffing.

 

Verder gebruikte Transavia geen meerfactorauthenticatie en was de toegang van de twee accounts niet beperkt tot alleen noodzakelijke systemen. Met de wachtwoorden kreeg de aanvaller onder meer toegang tot Transavia's Citrix-, HR- en Active Directory-systemen.

 

De eerste inlog vond op 12 september plaats, op 21 oktober kwam Transavia achter de aanval. De aanvaller heeft verschillende bestanden kunnen inzien, verwijderen en kopiëren. Zowel passagiersgegevens als leveranciers- en (potentiële) werknemersgegevens zijn gekopieerd. Het zou om ongeveer tachtigduizend passagiers gaan, drieduizend medewerkers en tweehonderd leveranciers.

 

Bij de passagiers zou het om voor- en achternaam, geboortedatum, vluchtinformatie en SSR-code gaan. Die SSR-code is een Special Service Request-code waarmee een luchtvaartmaatschappij bijvoorbeeld aangeeft dat iemand in een rolstoel zit of blind is en daardoor extra begeleiding nodig kan hebben. Bij de gegevens zaten minimaal 367 SSR-codes. Van een passagier zijn adres en telefoonnummer ook gestolen. Ook van werknemers en leveranciers zijn namen, adressen en telefoonnummers gestolen. Tot slot zijn er tien cv's gekopieerd. Deze gekopieerde gegevens zijn in januari 2015 door Transavia verzameld en stonden op een mailbox van een beheerd apparaat van een werknemer.

 

Naast de documenten die sowieso zijn gekopieerd, had de aanvaller ook toegang tot de gegevens van vijfentwintig miljoen passagiers en drieduizend werknemers. Hierbij gaat het om namen, geboortedata, geslacht, e-mailadres en vluchtgegevens. Bij werknemers waren deze persoonsgegevens eveneens zichtbaar, evenals bsn. Negentig procent van de consumentengegevens komt 'waarschijnlijk' van Nederlandse klanten, gebaseerd op de point of sale.

 

Of de aanvaller de gegevens van die 25 miljoen mensen daadwerkelijk heeft ingezien, is niet duidelijk. Volgens de Autoriteit Persoonsgegevens zijn er logbestanden verwijderd door de aanvaller en is het bewijs bij sommige systemen daardoor beperkter.

 

De aanvaller gebruikte bij zijn inbraak 'generieke accounts' die bij Transavia door meerdere personen gebruikt worden. Transavia's werknemers hebben ook eigen gebruikersaccounts, die van individuele medewerkers zijn. Deze gebruikersaccounts hadden bij Transavia de focus; hier werd meer gelet op de sterkte van wachtwoorden en werd meerfactorauthenticatie uitgerold. Transavia dacht dat omdat er meer gebruikersaccounts waren, hier ook het hoogste risico lag en focuste zich daarom op deze accounts.

 

Na de aanval liet Transavia onderzoek uitvoeren door een extern bedrijf en zijn er verschillende maatregelen getroffen. Tweefactorauthenticatie is voor alle eindgebruikers en apparaten ingevoerd, ook zijn alle wachtwoorden van zowel de gebruikersaccounts als de generieke accounts gereset en zijn wachtwoordvereisten 'technisch doorgevoerd'. De luchtvaartmaatschappij heeft daarnaast haar netwerk opgedeeld in meerdere segmenten, zodat een aanvaller minder toegang heeft bij een eventuele volgende aanval.

 

Transavia gaat niet in bezwaar tegen de boete van 400.000 euro. De luchtvaartmaatschappij meldde de aanval publiekelijk in februari vorig jaar

 

bron: www.tweakers.net



Reacties

Er zijn nog geen reacties geplaatst.

Plaats een reactie

Je moet ingelogd zijn om een reactie te mogen plaatsen. Klik hier om in te loggen.