Luchtvaartmaatschappij Transavia heeft een boete van 400.000 euro opgelegd gekregen, omdat een hacker in 2019 de persoonsgegevens van 25 miljoen passagiers kon inzien. De Autoriteit Persoonsgegevens (AP) meldt vrijdag dat dat kon gebeuren omdat Transavia de gegevens onvoldoende beveiligd had. De hacker heeft de privégegevens van zo’n 83.000 mensen gedownload.

De hacker kreeg toegang tot de data door twee accounts van de IT-afdeling van Transavia te gebruiken. Volgens de AP deugde de beveiliging van de Transaviasystemen op meerdere punten niet. Ten eerste was de toegang van de twee accounts niet beperkt tot alleen de noodzakelijke systemen. Daarnaast was het wachtwoord makkelijk te raden. Volgens AP-bestuurslid Katja Mur ging het om een wachtwoord in de trant van ’123456’, ‘Welkom’, en ‘wachtwoord’. En dat wachtwoord bleek voldoende; er was er geen zogeheten meerfactorauthenticatie.

Nadat de hacker de systemen was binnengedrongen, kon hij naam, geboortedatum, geslacht, e-mailadres, telefoonnummer en vlucht- en boekingsgegevens van passagiers inzien. Onder de gegevens die hij heeft gedownload was een lijst met passagiersgegevens uit 2015, met daarin namen, geboortedata, vluchtinformatie, en van een deel van de passagiers ook medische gegevens.

Transavia ontdekte het datalek zelf, heeft dit gemeld bij AP, en het lek snel gedicht. „Maar het is zeer ernstig dat een hacker toegang kon hebben tot persoonsgegevens van miljoenen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord”, zegt Mur. „Als jij een vlucht boekt, vertrouw jij de luchtvaartmaatschappij persoonsgegevens toe. Die heeft die gegevens nodig om jouw vlucht te regelen. Maar jouw gegevens zijn ook heel handig voor oplichters, die de gegevens kunnen gebruiken voor identiteitsdiefstal. Of om jou geld afhandig te maken via bijvoorbeeld WhatsApp-fraude.”