De Autoriteit Persoonsgegevens (AP) legt luchtvaartmaatschappij Transavia een boete op van 400.000 euro, wegens het slecht beveiligen van persoonsgegevens. Door die slechte beveiliging kon een hacker in 2019 de systemen van de luchtvaartmaatschappij binnendringen.
Daarbij had de hacker volgens de AP toegang tot systemen waarin hij gegevens van 25 miljoen mensen had kunnen inzien. Vastgesteld is dat de hacker persoonsgegevens van zo’n 83.000 personen downloadde. De hacker drong in september 2019 binnen in de systemen van Transavia, door twee accounts van de IT-afdeling van het bedrijf te gebruiken. Dat bleek veel te makkelijk te gaan.
De beveiliging was op drie punten niet op orde. Zo was het wachtwoord makkelijk te raden. Alleen dat wachtwoord bleek voldoende om het systeem binnen te komen. Er was geen meerfactorauthenticatie. Daarbij moet een persoon of systeem op minimaal twee verschillende manieren inloggen om toegang te krijgen. Bijvoorbeeld met een wachtwoord en met een code die je per sms ontvangt.
Toen de hacker eenmaal de controle had over deze twee accounts, had hij ook toegang tot een groot aantal systemen van Transavia. De toegang van deze twee accounts was namelijk niet beperkt tot alleen de noodzakelijke systemen.