image

Cathay Pacific krijgt 570.000 euro boete voor groot datalek

woensdag 4 maart 2020, 11:41 door Redactie, 3 reacties

De Britse privacytoezichthouder ICO heeft luchtvaartmaatschappij Cathay Pacific wegens het lekken van de persoonsgegevens van 9,4 miljoen klanten een boete van ruim 570.000 euro opgelegd. Mede door een 10 jaar oud beveiligingslek wisten aanvallers passagiersgegevens buit te maken.

Het ging om namen van passagiers, hun nationaliteit, geboortedatum, telefoonnummers, e-mailadressen, adresgegevens, paspoortnummers, identiteitskaartnummers, opmerkingen over klantenservice, historische reisgegevens en andere data. Ook 860.000 paspoortnummers en 245.000 identiteitskaartnummers van Hong Kong werden buitgemaakt, alsmede 403 verlopen creditcardnummers en 27 creditcardnummers zonder CVV-beveiligingscode.

De Britse ICO stelde een onderzoek in en ontdekte dat Cathay Pacific de systemen van oktober 2014 tot mei 2018 niet goed had beveiligd, waardoor de gegevens konden worden gestolen. Zo waren servers die met internet verbonden waren niet gepatcht, werden niet meer ondersteunde besturingssystemen gebruikt, waren back-ups niet versleuteld, hadden verschillende gebruikers onnodig domeinbeheerdersrechten, waren er lange tijd geen penetratietests uitgevoerd, werden gegevens te lang bewaard en ontbrak antivirussoftware.

De luchtvaartmaatschappij ontdekte in maart 2018 verdachte activiteit nadat er een bruteforce-aanval tegen een database had plaatsgevonden. Daarop werd er een securitybedrijf ingeschakeld. Dit securitybedrijf zag dat twee verschillende groepen aanvallers toegang hadden tot systemen van de luchtvaartmaatschappij. Hoe de eerste groep, die sinds oktober 2014 bij Cathay Pacific binnen zat, toegang kreeg is onbekend.

De tweede groep kreeg in 2017 toegang via een kwetsbare server en slaagde erin om zich lateraal door het netwerk van de luchtvaartmaatschappij te bewegen. De server bleek een beveiligingslek uit 2007 te bevatten. Een beveiligingsupdate voor deze tien jaar oud en bekende kwetsbaarheid had Cathay Pacific niet geïnstalleerd. Nadat ze toegang hadden verkregen installeerden de aanvallers vervolgens malware waarmee inloggegevens werden onderschept. Via deze inloggegevens kregen de aanvallers toegang tot een remote VPN dat geen multifactorauthenticatie vereiste, een applicatieplatform en een beheerdersconsole die via internet toegankelijk was.

De ICO haalt uit naar Cathay Pacific voor het niet goed beveiligen van klantgegevens waardoor aanvallers hier eenvoudig toegang toe konden krijgen. De luchtvaartmaatschappij heeft het geluk dat het incident voor de invoering van de AVG plaatsvond. Daardoor is de Britse databeschermingswetgeving van 1998 van kracht, die een maximale geldboete van 500.000 pond kent, wat omgerekend zo'n 570.000 euro is. Zou Cathay Pacific onder de AVG zijn beboet, dan had de boete vele tientallen miljoenen euro's kunnen bedragen.

Reacties (3)
04-03-2020, 12:36 door Anoniem
Toch wel schandalig dat deze boete net zo hoog is als die van de KNLTB. Nu is de boete utigedeeld door de AP sowieso al buitenproportioneel, maar als je het afzet tegen deze dan wordt het wel duidelijk dat er totaal geen lijn te trekken is op de hoogte van de boetes...
04-03-2020, 12:45 door souplost
Niet iedereen heeft al in de gaten dat ICT alleen nog maar kan met security in mind.
06-03-2020, 13:00 door Anoniem
Door Anoniem: Toch wel schandalig dat deze boete net zo hoog is als die van de KNLTB. Nu is de boete utigedeeld door de AP sowieso al buitenproportioneel, maar als je het afzet tegen deze dan wordt het wel duidelijk dat er totaal geen lijn te trekken is op de hoogte van de boetes...

Niet?

Hmm. KNLTB die heel bewust het besluit neemt om persoonlijke data van al hun leden te verkopen.
Of een bedrijf dat gehacked is omdat er ergens één server niet alle patches geinstalleerd had.

Ik vind het prima dat het eerste geval relatief zwaarder bestraft word.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.