De Britse privacytoezichthouder ICO heeft luchtvaartmaatschappij Cathay Pacific wegens het lekken van de persoonsgegevens van 9,4 miljoen klanten een boete van ruim 570.000 euro opgelegd. Mede door een 10 jaar oud beveiligingslek wisten aanvallers passagiersgegevens buit te maken.

Het ging om namen van passagiers, hun nationaliteit, geboortedatum, telefoonnummers, e-mailadressen, adresgegevens, paspoortnummers, identiteitskaartnummers, opmerkingen over klantenservice, historische reisgegevens en andere data. Ook 860.000 paspoortnummers en 245.000 identiteitskaartnummers van Hong Kong werden buitgemaakt, alsmede 403 verlopen creditcardnummers en 27 creditcardnummers zonder CVV-beveiligingscode.

De Britse ICO stelde een onderzoek in en ontdekte dat Cathay Pacific de systemen van oktober 2014 tot mei 2018 niet goed had beveiligd, waardoor de gegevens konden worden gestolen. Zo waren servers die met internet verbonden waren niet gepatcht, werden niet meer ondersteunde besturingssystemen gebruikt, waren back-ups niet versleuteld, hadden verschillende gebruikers onnodig domeinbeheerdersrechten, waren er lange tijd geen penetratietests uitgevoerd, werden gegevens te lang bewaard en ontbrak antivirussoftware.

De luchtvaartmaatschappij ontdekte in maart 2018 verdachte activiteit nadat er een bruteforce-aanval tegen een database had plaatsgevonden. Daarop werd er een securitybedrijf ingeschakeld. Dit securitybedrijf zag dat twee verschillende groepen aanvallers toegang hadden tot systemen van de luchtvaartmaatschappij. Hoe de eerste groep, die sinds oktober 2014 bij Cathay Pacific binnen zat, toegang kreeg is onbekend.

De tweede groep kreeg in 2017 toegang via een kwetsbare server en slaagde erin om zich lateraal door het netwerk van de luchtvaartmaatschappij te bewegen. De server bleek een beveiligingslek uit 2007 te bevatten. Een beveiligingsupdate voor deze tien jaar oud en bekende kwetsbaarheid had Cathay Pacific niet geïnstalleerd. Nadat ze toegang hadden verkregen installeerden de aanvallers vervolgens malware waarmee inloggegevens werden onderschept. Via deze inloggegevens kregen de aanvallers toegang tot een remote VPN dat geen multifactorauthenticatie vereiste, een applicatieplatform en een beheerdersconsole die via internet toegankelijk was.

De ICO haalt uit naar Cathay Pacific voor het niet goed beveiligen van klantgegevens waardoor aanvallers hier eenvoudig toegang toe konden krijgen. De luchtvaartmaatschappij heeft het geluk dat het incident voor de invoering van de AVG plaatsvond. Daardoor is de Britse databeschermingswetgeving van 1998 van kracht, die een maximale geldboete van 500.000 pond kent, wat omgerekend zo'n 570.000 euro is. Zou Cathay Pacific onder de AVG zijn beboet, dan had de boete vele tientallen miljoenen euro's kunnen bedragen.