De Autoriteit Persoonsgegevens (AP) heeft Transavia een boete opgelegd van € 400.000, vanwege het slecht beveiligen van de persoonsgegevens van haar passagiers. Door die slechte beveiliging wist een hacker in 2019 de systemen van de luchtvaartmaatschappij binnen te dringen. Inmiddels is vast komen te staan, dat daarbij persoonsgegevens van zo’n 83.000 personen werden gedownload.
Transavia meldde het datalek in oktober 2019 tijdig bij de AP. Ook informeerde zij de betrokkenen en werden de nodige maatregelen genomen om de beveiliging op orde te krijgen. Nadat Transavia de melding deed, stelde de AP ambtshalve onderzoek in naar de ten tijde van het datalek genomen beveiligingsmaatregelen.
Password Spraying en Credential Stuffing
De hacker drong in september 2019 de systemen van Transavia binnen, waarna hij gebruikmaakte van ‘password spraying’ en ‘credential stuffing’. Bij dergelijke aanvallen gebruikt een kwaadwillende veelgebruikte wachtwoorden of bekende gebruikersgegevens (afkomstig uit datalekken van derden), om zo toegang te krijgen tot een systeem. Uiteindelijk vonden op twee accounts van de IT-afdeling van Transavia succesvolle inlogpogingen plaats. De hacker kreeg daarmee toegang tot een groot deel van de (kritieke) systemen, waar hij persoonsgegevens naar een externe locatie kopieerde. Het lek werd eind november van datzelfde jaar weer gedicht door Transavia.
Onderscheid tussen daadwerkelijk gekopieerde gegevens en persoonsgegevens waartoe in theorie toegang bestond
Bij haar onderzoek maakte AP onderscheid tussen twee categorieën persoonsgegevens. Namelijk (i) de persoonsgegevens die de aanvaller daadwerkelijk naar een externe locatie kopieerde en (ii) de persoonsgegevens waartoe de aanvaller in theorie toegang had.
De hacker downloadde de passagiers-, leveranciers- en (potentiële) werknemersgegevens van ongeveer 83.000 personen en kopieerde deze gegevens vervolgens naar een externe locatie. Van 367 passagiers werden ook medische gegevens gelekt, bestaande uit bijgeboekte services die door Transavia werden opgeslagen als SSR-code (”Special Service Request”). Deze codes zien bijvoorbeeld op rolstoelgebruik, doofheid en blindheid. De betekenis van de SSR-codes is te vinden op internet en blijkt in sommige gevallen uit de code zelf. Naast ‘gewone’ persoonsgegevens verwerkte Transavia dan ook tevens bijzondere persoonsgegevens.
In totaal verwerkte Transavia ten tijde van het datalek persoonsgegevens van circa 25 miljoen personen. Tot deze persoonsgegevens had de hacker in theorie dan ook toegang. Volgens de AP zijn er geen aanwijzingen dat de hacker deze gegevens daadwerkelijk heeft ingezien, maar die mogelijkheid bestond wel. Verder was ook sprake van grensoverschrijdende verwerking, nu de persoonsgegevens afkomstig zijn van personen uit meerdere Europese landen.
Wachtwoordbeleid, meerfactorauthenticatie en toegang tot het systeem
In het boetebesluit valt te lezen dat de beveiliging van Transavia op een drietal punten niet op orde was.
Ten eerste hanteert Transavia een wachtwoordbeleid waarin per mogelijk risiconiveau staat aangegeven welke eisen daarbij gelden. De accounts die bij de hack betrokken waren voldeden niet aan de eigen standaarden van Transavia. Dit, terwijl één van die accounts binnen de systemen met hoogste privileges werd aangemerkt. De gebruikte wachtwoorden van beide accounts waren eenvoudig en veelgebruikt, waardoor ze gemakkelijk (geautomatiseerd) te raden waren. De generieke accounts die gebruikt zijn bij de hack, hadden volgens Transavia niet de focus bij interne controles. Er is dan ook niet gecontroleerd of deze wachtwoorden voldeden aan het eigen wachtwoordbeleid. Transavia heeft aangegeven dat volgens haar het grootste risico lag bij de gebruikersaccounts, en niet bij dergelijke generieke accounts.
Daarnaast had Transavia ten aanzien van deze generieke accounts nog geen meerfactorauthenticatie geïmplementeerd. Anders dan het wachtwoordbeleid voorschreef, hoefde gebruikers voor remote access (toegang tot de online werkomgeving op afstand) slechts op één manier in te loggen alvorens toegang te krijgen tot de systemen.
Ten slotte had de hacker – na succesvol te zijn ingelogd – veel vrijheden binnen de systemen van Transavia. AP oordeelde dat dit voorkomen had kunnen worden. Zo had Transavia het netwerk kunnen opdelen in verschillende segmenten. Ook had zij de toegang aan de toegangsrechten van gebruikers kunnen koppelen. De betreffende twee accounts waarop de hacker inlogde, hadden bijvoorbeeld ook toegang tot niet-noodzakelijke systemen.
Slotsom
AP kwam dan ook tot de slotsom dat Transavia veelgebruikte standaarden op het gebied van informatiebeveiliging (deels) niet heeft geïmplementeerd. Indien zij dit wel had gedaan, dan had zij het risico van het optreden van een datalek substantieel kunnen verminderen. Bovendien verwerkt de luchtvaartmaatschappij een grote hoeveelheid persoonsgegevens, waaronder bijzondere persoonsgegevens. Hetgeen bijdraagt aan het oordeel dat de beveiliging van Transavia ten tijd van het datalek niet passend was gelet op het risico. AP kwalificeert de inbreuk dan ook als zeer ernstig.
Meldplicht
In december 2020 legde de AP een boete van € 475.000 op aan Booking.com voor het te laat melden van een datalek. Deze boete hield geen verband met de beveiligingsmaatregelen van Booking.com. Opvallend is dan ook dat de boete voor Booking.com hoger uitvalt dan die voor Transavia, terwijl laatstgenoemde geen adequate beveiligingsmaatregelen geïmplementeerd had om datalekken te voorkomen. Dit illustreert dat de AP grote (of zelfs grotere?) waarde hecht aan de tijdige melding van een datalek.
Een datalek moet in beginsel binnen 72 uur worden gemeld, tenzij waarschijnlijk is dat het datalek geen risico inhoudt voor de betrokken natuurlijke personen. De implementatie van passende beveiligingsmaatregelen is van belang om een dergelijk lek zoveel als mogelijk te voorkomen.