image

Groot datalek vliegmaatschappij Qantas door telefonische phishingaanval

donderdag 16 juli 2026, 11:53 door Redactie, 4 reacties

Een groot datalek bij de Australische vliegmaatschappij Qantas, waarbij de persoonlijke gegevens van 5,7 miljoen mensen werden gestolen, is veroorzaakt door een telefonische phishingaanval. Dat meldt de Australische privacytoezichthouder OAIC, die geen aanleiding ziet voor verder onderzoek of sancties tegen het bedrijf. De aanval op Qantas zou het werk zijn van de criminele groepering ShinyHunters, die eerder ook via een telefonische phishingaanval bij Odido de gegevens van ruim zes miljoen mensen wist te stelen.

De phishingaanval vond plaats op een medewerker van een klantcontactcentrum dat de vliegmaatschappij gebruikte. De aanvaller deed zich voor als een it-medewerker van Qantas en stelde dat hij wegens een it-probleem belde. Vervolgens vroeg de aanvaller aan de medewerker om een Salesforce-gerelateerde website te bezoeken. De medewerker voerde vervolgens op verzoek van de aanvaller verschillende instructies uit die zogenaamd nodig zouden zijn voor het sluiten van een supportticket.

Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Via CRM-systemen houden bedrijven allerlei informatie over klanten en potentiële klanten bij. De medewerker van het klantcontactcentrum had toegang tot de profielen van Qantas-klanten die in Salesforce waren opgeslagen. Door de uitgevoerde instructies kon de aanvaller een 'data extraction tool' aan de Salesforce-omgeving van Qantas koppelen en zo de data van miljoenen mensen buitmaken.

Voor vier miljoen mensen ging het om namen, telefoonnummers, e-mailadressen en Frequent Flyer-informatie. Voor de resterende 1,7 miljoen slachtoffers ging het ook om adresgegevens, geboortedatums, geslacht, maaltijdvoorkeuren en hotels waar vertraagde bagage naar toe kon.

Volgens de Australische privacytoezichthouder blijkt uit onderzoek dat Qantas geen steken heeft laten vallen wat betreft de bescherming van persoonlijke informatie. Ook had het voldoende maatregelen genomen om ervoor te zorgen dat het ingehuurde klantcontractcentrum aan Australische privacywetgeving voldeed. Daarnaast heeft Qantas na het incident allerlei maatregelen getroffen, waaronder extra training voor personeel. Volgens de OAIC is er dan ook geen aanleiding voor verder onderzoek of het nemen van sancties tegen Qantas.

Reacties (4)
Vandaag, 13:10 door musiman
Qantas heeft geen steken laten vallen, maar het personeel kreeg achteraf extra training... Wellicht had die extra training éérder hebben moeten plaatsvinden, namelijk vóórdat de vishing aanval (dus niet "telefonische phishing") plaatsvond.
Vandaag, 13:40 door Anoniem
Misschien stoppen met Salesforce?
The gift that keeps on giving.
Vandaag, 14:30 door Anoniem
Waarom zou een gewone gebruiker binnen Salesforce gerechtigd zijn om zulke aantallen clienten te exporteren?
Ik zou verwachten dat je b.v. maximaal 10 tegelijk zou mogen bekijken. Is Salesforce misschien niet goed ingericht? Zo niet, dan is Qantas wel wat te verwijten.
Vandaag, 15:30 door meidoorn - Bijgewerkt: Vandaag, 15:31
Door musiman: Wellicht had die extra training éérder hebben moeten plaatsvinden, namelijk vóórdat de vishing aanval (dus niet "telefonische phishing") plaatsvond.
Er zijn security mensen die het zelfde zeggen als terroristen een aanval hebben uitgevoerd op een stedelijk object. Als mosterd na de maaltijd wemelt het opeens na die aanval van zwaar gewapende politie en anti-terreur eenheden. Maar zo kun je niet beweren preventief te hebben gewerkt, laat staan dat je repressief kon optreden als die aanval werd uitgevoerd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.