Ett nederländskt lågprisflygbolag, Transavia, får betala €400 000 i sanktionsavgift efter brister i sitt säkerhetssystem

Författare:

|

Datum:

|

Transavia, ett nederländskt lågprisflygbolag, har blivit ålagt med en sanktionsavgift på €400 000 efter en tillsyn av den nederländska dataskyddsmyndigheten, Dutch Data Protection Authority (DPA). Sanktionsavgiften utfärdades i samband med ett konstaterande om brister i företagets säkerhetssystem som har lett till att en hacker har kunnat ta sig in i systemen och fått åtkomst till information som lagrades. Hackern hade åtkomst till systemen från september till november 2019.

Tre huvudsakliga säkerhetsbrister

Hackern lyckades ta sig in i systemet genom att använda konton som tillhörde två medarbetare vid IT-avdelningen.

Det fanns tre huvudsakliga säkerhetsbrister:

  1. Det var lätt att gissa sig fram till lösenordet. Enligt uppgifter från Katja Mur, ledamot i DPAs styrelse var lösenorden som användes av samma typ som de som under de senaste åren har varit på topplistan av mest använda lösenord som exempelvis ”123456”, ”welcome” and ”password”.
  2. Det enda som krävdes för inloggning var ett lösenord. Det fanns alltså inget krav på flerstegsverifiering, exempelvis som att en bekräftelsekod skickas till mobiltelefonen för att autentisera inloggning. 
  3. När hackern lyckades logga in på de två konton fick han tillgång till ett flertal av Transavias system. På grund av brister i behörighetsbegränsningar hade dessa konton tillgång till fler system än de egentligen skulle ha behörighet för.

Personuppgifter som laddades ner

I samband med intrånget fick hackern tillgång till personuppgifter tillhörande 25 miljoner passagerare. Det var bland annat uppgifter om passagerarnas namn, födelsedatum, kön, mailadresser, telefonnummer och bokningsnummer. Personuppgifter tillhörande 83 000 passagerare har laddats ner. Dessutom laddade hackern ner medicinsk information om 367 personer som exempelvis begärde att ta med sig en rullstol eller efterfrågade extra hjälp på grund av nedsatt syn och hörsel.   

En drastisk ökning av datastölder

I sin rapport om dataintrång varnade DPA om att det har skett en dramatisk ökning av hackerattacker med syfte att stjäla personuppgifter. Antalet hackerattacker ökade med 30% år 2020 jämfört med 2019. Datastölder kan ofta undvikas genom förbättrade säkerhetsåtgärder.

Vad händer nu?

Beslutet från DPA är slutgiltigt och Transavia har inte överklagat beslutet.

Läs mer här och här