image

Transavia krijgt 400.000 euro boete voor datalek door zwak wachtwoord

vrijdag 12 november 2021, 09:43 door Redactie, 14 reacties

Luchtvaartmaatschappij Transavia heeft voor een datalek dat werd veroorzaakt door een zwak wachtwoord en waarbij de gegevens van 80.000 passagiers werden gestolen een boete van 400.000 euro gekregen. Door de slechte beveiliging bij Transavia had de aanvaller echter de persoonsgegevens van 25 miljoen mensen kunnen inzien, zo laat de Autoriteit Persoonsgegevens weten. Volgens de toezichthouder had de luchtvaartmaatschappij geen passende maatregelen getroffen om de gegevens te beschermen en heeft daarmee de Algemene verordening gegevensbescherming (AVG) overtreden.

Transavia ontdekte in oktober 2019 dat een aanvaller toegang tot de systemen had gekregen. Hiervoor maakte de aanvaller gebruik van password spraying of credential stuffing. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.

Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. Dergelijke aanvallen zijn vaak mogelijk doordat gebruikers hun wachtwoorden hergebruiken en organisaties geen maatregelen tegen dergelijke geautomatiseerde aanvallen hebben genomen.

Via één van deze technieken lukte het de aanvaller om op 12 september 2019 in te loggen op een gebruikersaccount, waarmee er ook toegang tot de Citrix-omgeving van Transavia werd verkregen. "Het is de aanvaller vervolgens gelukt om de authenticatiegegevens te verkrijgen van de gebruiker [VERTROUWELIJK] door wederom het wachtwoord [VERTROUWELIJK] te gebruiken. Deze gebruiker had volgens Transavia "de hoogste privileges in het [VERTROUWELIJK]", aldus de AP in het boetebesluit.

Mailboxen

Met de twee gecompromitteerde accounts had de aanvaller toegang tot een groot deel van het Transavia-netwerk. De aanvaller gebruikte ook penetratietestsoftware wat er uiteindelijk voor zorgde dat hij werd opgemerkt. Daarop werd een onderzoek ingesteld. De aanvaller bleek vijf mailboxen van medewerkers en één van een oud-medewerker te hebben gekopieerd naar een externe locatie. In de mailboxen bleken 49 bestanden met persoonsgegevens aanwezig te zijn.

In deze bestanden stonden de gegevens van 80.000 passagiers, alsmede medewerkers en leveranciers. Van passagiers ging het om naam, geboortedatum, vluchtinformatie en SSR-code. Van medewerkers en leveranciers werd naam, zakelijke e-mailadressen, adres en telefoonnummer buitgemaakt.

Beveiliging

Uit onderzoek van de AP blijkt dat de gecompromitteerde accounts niet aan het wachtwoordbeleid van Transavia voldeden. In het wachtwoordbeleid staat verder dat er voor "remote access" meerfactorauthenticatie vereist is. Dit was niet het geval voor de gebruikers waarmee de aanvaller toegang heeft kunnen verkrijgen. Zo kreeg de aanvaller toegang tot een Citrix-omgeving zonder gebruik te maken van meerfactorauthenticatie. Daarnaast was de toegang van de gecompromitteerde accounts niet beperkt tot alleen de noodzakelijke systemen.

Ook bleek dat op diverse systemen verouderde besturingssystemen draaiden. Verder was de meerfactorauthenticatie op bepaalde systemen zo ingesteld dat een gebruiker zelf een telefoonnummer kon invullen om een tweedefactorbericht op te ontvangen. Bepaalde systemen hadden daarnaast ongecontroleerd toegang tot het internet. Dit maakte het mogelijk voor de aanvaller om met externe systemen te communiceren vanuit het netwerk van Transavia.

Hoewel de aanvaller uiteindelijk de gegevens van 80.000 passagiers in handen kreeg, had hij toegang tot systemen waarop de gegevens van 25 miljoen passagiers stonden.

Passende maatregelen

Volgens de Autoriteit Persoonsgegevens heeft Transavia geen passende maatregelen genomen om de persoonsgegevens waarover het beschikte voldoende te beveiligen zoals in de AVG staat vermeld. "De combinatie van zwakke wachtwoorden en het ontbreken van een tweefactor-authenticatie maakte het volgens de AP voorzienbaar dat er een groot risico bestond op ongeoorloofde toegang tot de persoonsgegevens van Transavia. Tweefactor-authenticatie is al jarenlang een gangbare beveiligingsmaatregel en vrij eenvoudig om te implementeren", stelt de toezichthouder.

"Het is zeer ernstig dat een hacker toegang kon hebben tot persoonsgegevens van miljoenen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord", zegt AP-bestuurslid Katja Mur. "En dat niet alleen: andere belangrijke drempels om het een hacker moeilijk te maken, ontbraken ook."

Reacties (14)
12-11-2021, 10:24 door [Account Verwijderd] - Bijgewerkt: 12-11-2021, 10:25
En wat is het wachtwoord nu geworden?

JEKENTMETOCH

En als 2de wachtwoord, IKBENHETECHT.
Voor de extra beveiliging.
12-11-2021, 10:34 door Anoniem
Door BertG.: En wat is het wachtwoord nu geworden?

JEKENTMETOCH

En als 2de wachtwoord, IKBENHETECHT.
Voor de extra beveiliging.
Dat is geen MFA en als wachtwoord mag JEKENTMETOCH niet door de check komen, want het bestaat alleen uit hoofdletters.

Wachtwoord J3k3ntm3t0cH! in combinatie met een automatische code uit een MFA app is wel een optie, het wachtwoord is te raden, maar de code niet.
12-11-2021, 11:20 door [Account Verwijderd]
Jij had meteen door dat dit een serieuze poging van mij was.
Zat ik er toch weer naast.
12-11-2021, 11:25 door [Account Verwijderd]
Uit de oude doos, maar hij blijft leuk:

https://imgs.xkcd.com/comics/password_strength.png
12-11-2021, 11:32 door Anoniem
Door BertG.: En wat is het wachtwoord nu geworden?

JEKENTMETOCH

En als 2de wachtwoord, IKBENHETECHT.
Voor de extra beveiliging.
In plaats van Zomer2019! is het Tr@ns@vi@ geworden. Dat ligt wat minder voor de hand en hoeft niet elk seizoen opnieuw aangepast te worden.
12-11-2021, 11:55 door Anoniem
Blijkbaar is de data slechts 5 euro per record waard...
12-11-2021, 12:01 door Anoniem
En wat schieten de gedupeerden hier nu mee op? Mogen de 80.000 gedupeerden de 400.000 boete verdelen? Ieder 5 euro voor de geleden schade? Zou toch mooi zijn en laat zien dat persoonsgegevens geld waard zijn. En doet ook recht aan de eigenaren van de persoonsgegevens, die dan gecompenseerd worden indien een bewerker foutief met iemand anders eigendom omgaat.

Helaas zit de privacy-wetgeving niet zo in elkaar. 17.500.000 profiteren van de boete. We zien dit vast terug als belastingverlaging.
12-11-2021, 16:42 door Anoniem
Zo 'vliegt' het geld er wel uit bij Transavia.
12-11-2021, 16:55 door Anoniem
Door Anoniem: Zo 'vliegt' het geld er wel uit bij Transavia.
En weer minder geld over om dit soort beveiligingslekken te voorkomen.
13-11-2021, 07:23 door Anoniem
Staan er niet gewoon 2 nullen te weinig in dit bedrag? 5 euro per persoon is natuurlijk een schijntje.
13-11-2021, 08:45 door Anoniem
Door Anoniem: Blijkbaar is de data slechts 5 euro per record waard...
Je kan het ook anders bekijken: een goed wachtwoord of 2FA gebruiken is 4 ton waard, per keer dat het anders was misgegaan. Correctie: niet per keer dat het misgaat, als blijkt dat ze zich niet verbeteren zel de volgende keer de boete vermoedelijk hoger zijn.

Door Anoniem: En wat schieten de gedupeerden hier nu mee op? Mogen de 80.000 gedupeerden de 400.000 boete verdelen? Ieder 5 euro voor de geleden schade?
Het voordeel is niet zo direct, maar het is er wel degelijk. Elke keer dat tot een bedrijf of organisatie doordringt dat ze het beter moeten doen en dat het geld kost om er een potje van te maken verkleint dat de kans op een volgend ongeluk. En hoe algemener dit inzicht doordringt, hoe beter de situatie in het algemeen wordt. Daar heb je wel degelijk voordeel bij.

Zou toch mooi zijn en laat zien dat persoonsgegevens geld waard zijn. En doet ook recht aan de eigenaren van de persoonsgegevens, die dan gecompenseerd worden indien een bewerker foutief met iemand anders eigendom omgaat. Helaas zit de privacy-wetgeving niet zo in elkaar.
Alleen is dat nooit waar boetes toe dienen. Die komen bovenop een eventuele schadevergoeding. Als boetes als schadevergoeding gebruikt zouden gaan worden zou dat het strafeffect van boetes juist verlagen, dan zouden partijen die ook een schadevergoeding verschuldigd zijn goedkoper uit zijn dan nu. Dus gelukkig zit de privacywetgeving niet zo in elkaar.

17.500.000 profiteren van de boete. We zien dit vast terug als belastingverlaging.
Inderdaad, al zal die 2,3 cent per persoon je niet echt op gaan vallen.
13-11-2021, 13:27 door karma4 - Bijgewerkt: 13-11-2021, 13:27
Door Anoniem:
Door Anoniem: Zo 'vliegt' het geld er wel uit bij Transavia.
En weer minder geld over om dit soort beveiligingslekken te voorkomen.

Met alle aandacht om te beboeten schiet de verbetering er bij in. Ik las dat Transavia zelf het probleem had aangegeven.
Wat zouden de reacties zijn als je zelf elke verkeersovertreding zou moeten melden en daarvoor een boet krijgt en een boete krijgt als je iets niet gemeld hebt. Volgens mij kan je een opstand verwachten wegens onwerkbaarheid dan wel de big brother houding met volledige massa surveillance.
13-11-2021, 16:56 door Anoniem
Door karma4: Met alle aandacht om te beboeten schiet de verbetering er bij in. Ik las dat Transavia zelf het probleem had aangegeven.
Transavia is verplicht om dit te melden. De melding zelf zegt dus niets over de intentie om te verbeteren. Als die intentie er wel was, dan hadden ze voor de hack al een bericht naar de AP gestuurd dat de beveiliging niet op orde is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.