Luchtvaartmaatschappij Transavia krijgt een boete van 400.000 euro van de Autoriteit Persoonsgegevens wegens de slechte beveiliging van persoonsgegevens, die leidde tot een lek van zeker 83.000 klantgegevens.

De privacywaakhond vindt het zeer ernstig dat een hacker in 2019 toegang kon krijgen tot persoonsgegevens van 25 miljoen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord.

De hacker slaagde erin de systemen van Transavia binnen te dringen door twee accounts van de IT-afdeling van het bedrijf te gebruiken. Dat bleek gemakkelijk te kunnen, want het wachtwoord was eenvoudig te raden. Bovendien bleek er geen sprake te zijn van tweefactorauthenticatie - een manier van aanmelden waarbij je naast een wachtwoord ook een andere code moet invullen, die je bijvoorbeeld per sms ontvangt.

Door de slechte beveiliging kon de hacker, toen hij toegang had tot de twee accounts, gemakkelijk rondsnuffelen binnen andere systemen op het Transavia-netwerk. Zo kreeg de hacker toegang tot systemen waarin hij gegevens van 25 miljoen mensen had kunnen inzien, waaronder naam, geboortedatum, geslacht, e-mailadres, telefoonnummer en vlucht- en boekingsgegevens. Vastgesteld is dat de hacker persoonsgegevens van zo'n 83.000 personen downloadde.

"Je moet ervan uit kunnen gaan dat de luchtvaartmaatschappij waarbij je een vlucht boekt erg voorzichtig met jouw data omgaat en die uitermate goed beveiligt. Dat bleek bij Transavia niet het geval", aldus de Autoriteit Persoonsgegevens.

Transavia is niet in beroep gegaan tegen de boete.