Ett nederländskt lågprisflygbolag, Transavia, får betala €400 000 i sanktionsavgift efter brister i sitt säkerhetssystem

Transavia, ett nederländskt lågprisflygbolag, har blivit ålagt med en sanktionsavgift på €400 000 efter en tillsyn av den nederländska dataskyddsmyndigheten, Dutch Data Protection Authority (DPA). Sanktionsavgiften utfärdades i samband med ett konstaterande om brister i företagets säkerhetssystem som har lett till att en hacker har kunnat ta sig in i systemen och fått åtkomst till information som lagrades. Hackern hade åtkomst till systemen från september till november 2019.

Tre huvudsakliga säkerhetsbrister

Hackern lyckades ta sig in i systemet genom att använda konton som tillhörde två medarbetare vid IT-avdelningen.

Det fanns tre huvudsakliga säkerhetsbrister:

  1. Det var lätt att gissa sig fram till lösenordet. Enligt uppgifter från Katja Mur, ledamot i DPAs styrelse var lösenorden som användes av samma typ som de som under de senaste åren har varit på topplistan av mest använda lösenord som exempelvis ”123456”, ”welcome” and ”password”.
  2. Det enda som krävdes för inloggning var ett lösenord. Det fanns alltså inget krav på flerstegsverifiering, exempelvis som att en bekräftelsekod skickas till mobiltelefonen för att autentisera inloggning. 
  3. När hackern lyckades logga in på de två konton fick han tillgång till ett flertal av Transavias system. På grund av brister i behörighetsbegränsningar hade dessa konton tillgång till fler system än de egentligen skulle ha behörighet för.

Personuppgifter som laddades ner

I samband med intrånget fick hackern tillgång till personuppgifter tillhörande 25 miljoner passagerare. Det var bland annat uppgifter om passagerarnas namn, födelsedatum, kön, mailadresser, telefonnummer och bokningsnummer. Personuppgifter tillhörande 83 000 passagerare har laddats ner. Dessutom laddade hackern ner medicinsk information om 367 personer som exempelvis begärde att ta med sig en rullstol eller efterfrågade extra hjälp på grund av nedsatt syn och hörsel.   

En drastisk ökning av datastölder

I sin rapport om dataintrång varnade DPA om att det har skett en dramatisk ökning av hackerattacker med syfte att stjäla personuppgifter. Antalet hackerattacker ökade med 30% år 2020 jämfört med 2019. Datastölder kan ofta undvikas genom förbättrade säkerhetsåtgärder.

Vad händer nu?

Beslutet från DPA är slutgiltigt och Transavia har inte överklagat beslutet.

Läs mer här och här

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart