Een groot datalek bij de Australische vliegmaatschappij Qantas, waarbij de persoonlijke gegevens van 5,7 miljoen mensen werden gestolen, is veroorzaakt door een telefonische phishingaanval. Dat meldt de Australische privacytoezichthouder OAIC, die geen aanleiding ziet voor verder onderzoek of sancties tegen het bedrijf. De aanval op Qantas zou het werk zijn van de criminele groepering ShinyHunters, die eerder ook via een telefonische phishingaanval bij Odido de gegevens van ruim zes miljoen mensen wist te stelen.
De phishingaanval vond plaats op een medewerker van een klantcontactcentrum dat de vliegmaatschappij gebruikte. De aanvaller deed zich voor als een it-medewerker van Qantas en stelde dat hij wegens een it-probleem belde. Vervolgens vroeg de aanvaller aan de medewerker om een Salesforce-gerelateerde website te bezoeken. De medewerker voerde vervolgens op verzoek van de aanvaller verschillende instructies uit die zogenaamd nodig zouden zijn voor het sluiten van een supportticket.
Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Via CRM-systemen houden bedrijven allerlei informatie over klanten en potentiële klanten bij. De medewerker van het klantcontactcentrum had toegang tot de profielen van Qantas-klanten die in Salesforce waren opgeslagen. Door de uitgevoerde instructies kon de aanvaller een 'data extraction tool' aan de Salesforce-omgeving van Qantas koppelen en zo de data van miljoenen mensen buitmaken.
Voor vier miljoen mensen ging het om namen, telefoonnummers, e-mailadressen en Frequent Flyer-informatie. Voor de resterende 1,7 miljoen slachtoffers ging het ook om adresgegevens, geboortedatums, geslacht, maaltijdvoorkeuren en hotels waar vertraagde bagage naar toe kon.
Volgens de Australische privacytoezichthouder blijkt uit onderzoek dat Qantas geen steken heeft laten vallen wat betreft de bescherming van persoonlijke informatie. Ook had het voldoende maatregelen genomen om ervoor te zorgen dat het ingehuurde klantcontractcentrum aan Australische privacywetgeving voldeed. Daarnaast heeft Qantas na het incident allerlei maatregelen getroffen, waaronder extra training voor personeel. Volgens de OAIC is er dan ook geen aanleiding voor verder onderzoek of het nemen van sancties tegen Qantas.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.