Luchtvaartmaatschappij Transavia heeft voor een datalek dat werd veroorzaakt door een zwak wachtwoord en waarbij de gegevens van 80.000 passagiers werden gestolen een boete van 400.000 euro gekregen. Door de slechte beveiliging bij Transavia had de aanvaller echter de persoonsgegevens van 25 miljoen mensen kunnen inzien, zo laat de Autoriteit Persoonsgegevens weten. Volgens de toezichthouder had de luchtvaartmaatschappij geen passende maatregelen getroffen om de gegevens te beschermen en heeft daarmee de Algemene verordening gegevensbescherming (AVG) overtreden.
Transavia ontdekte in oktober 2019 dat een aanvaller toegang tot de systemen had gekregen. Hiervoor maakte de aanvaller gebruik van password spraying of credential stuffing. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.
Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. Dergelijke aanvallen zijn vaak mogelijk doordat gebruikers hun wachtwoorden hergebruiken en organisaties geen maatregelen tegen dergelijke geautomatiseerde aanvallen hebben genomen.
Via één van deze technieken lukte het de aanvaller om op 12 september 2019 in te loggen op een gebruikersaccount, waarmee er ook toegang tot de Citrix-omgeving van Transavia werd verkregen. "Het is de aanvaller vervolgens gelukt om de authenticatiegegevens te verkrijgen van de gebruiker [VERTROUWELIJK] door wederom het wachtwoord [VERTROUWELIJK] te gebruiken. Deze gebruiker had volgens Transavia "de hoogste privileges in het [VERTROUWELIJK]", aldus de AP in het boetebesluit.
Met de twee gecompromitteerde accounts had de aanvaller toegang tot een groot deel van het Transavia-netwerk. De aanvaller gebruikte ook penetratietestsoftware wat er uiteindelijk voor zorgde dat hij werd opgemerkt. Daarop werd een onderzoek ingesteld. De aanvaller bleek vijf mailboxen van medewerkers en één van een oud-medewerker te hebben gekopieerd naar een externe locatie. In de mailboxen bleken 49 bestanden met persoonsgegevens aanwezig te zijn.
In deze bestanden stonden de gegevens van 80.000 passagiers, alsmede medewerkers en leveranciers. Van passagiers ging het om naam, geboortedatum, vluchtinformatie en SSR-code. Van medewerkers en leveranciers werd naam, zakelijke e-mailadressen, adres en telefoonnummer buitgemaakt.
Uit onderzoek van de AP blijkt dat de gecompromitteerde accounts niet aan het wachtwoordbeleid van Transavia voldeden. In het wachtwoordbeleid staat verder dat er voor "remote access" meerfactorauthenticatie vereist is. Dit was niet het geval voor de gebruikers waarmee de aanvaller toegang heeft kunnen verkrijgen. Zo kreeg de aanvaller toegang tot een Citrix-omgeving zonder gebruik te maken van meerfactorauthenticatie. Daarnaast was de toegang van de gecompromitteerde accounts niet beperkt tot alleen de noodzakelijke systemen.
Ook bleek dat op diverse systemen verouderde besturingssystemen draaiden. Verder was de meerfactorauthenticatie op bepaalde systemen zo ingesteld dat een gebruiker zelf een telefoonnummer kon invullen om een tweedefactorbericht op te ontvangen. Bepaalde systemen hadden daarnaast ongecontroleerd toegang tot het internet. Dit maakte het mogelijk voor de aanvaller om met externe systemen te communiceren vanuit het netwerk van Transavia.
Hoewel de aanvaller uiteindelijk de gegevens van 80.000 passagiers in handen kreeg, had hij toegang tot systemen waarop de gegevens van 25 miljoen passagiers stonden.
Volgens de Autoriteit Persoonsgegevens heeft Transavia geen passende maatregelen genomen om de persoonsgegevens waarover het beschikte voldoende te beveiligen zoals in de AVG staat vermeld. "De combinatie van zwakke wachtwoorden en het ontbreken van een tweefactor-authenticatie maakte het volgens de AP voorzienbaar dat er een groot risico bestond op ongeoorloofde toegang tot de persoonsgegevens van Transavia. Tweefactor-authenticatie is al jarenlang een gangbare beveiligingsmaatregel en vrij eenvoudig om te implementeren", stelt de toezichthouder.
"Het is zeer ernstig dat een hacker toegang kon hebben tot persoonsgegevens van miljoenen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord", zegt AP-bestuurslid Katja Mur. "En dat niet alleen: andere belangrijke drempels om het een hacker moeilijk te maken, ontbraken ook."
Deze posting is gelocked. Reageren is niet meer mogelijk.