Namen en geboortedatums 80.000 Transavia-klanten uitgelekt na mailboxinbraak

Persoonlijke gegevens van zeker tachtigduizend passagiers van Transavia zijn mogelijk gestolen bij een datalek. Inbrekers hadden toegang tot een mailbox van het bedrijf. Daarin zat een bestand met de gegevens van 80.000 passagiers. Het gaat om namen en geboortedatums.

Transavia meldt het lek op zijn website. Door het lek zijn tachtigduizend passagiers getroffen die tussen 21 en 31 januari 2015 met de maatschappij hebben gevlogen. Volgens Transavia zijn voor- en achternamen en geboortedatums ingezien. Ook ging het om vluchtgegevens en eventuele extra diensten die passagiers hadden bijgeboekt, zoals het meenemen van bagage, skispullen of rolstoelen. Het bedrijf zegt dat er geen gevoelige gegevens, zoals creditcard- of paspoortgegevens, zijn gestolen. Ook stonden er geen contactgegevens, zoals adressen, e-mailadressen of telefoonnummers, in het bestand.

Transavia heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Dat is verplicht. De inbrekers zijn binnengekomen door een e-mailadres dat ergens is gelekt, in combinatie met een zwak wachtwoord, zegt een woordvoerder van het bedrijf. Volgens haar zijn er aanwijzingen dat de gegevens ook daadwerkelijk uit de mailbox zijn gestolen, en is er niet enkel toegang geweest. Transavia zegt dat het naar aanleiding van het datalek een onderzoek is begonnen en 'verbeteringen heeft doorgevoerd'. Welke dat precies zijn wil het bedrijf niet zeggen. Transavia gaat alle getroffen klanten zelf inlichten. Ook heeft het bedrijf een telefoonnummer geopend waar klanten terechtkunnen met vragen.

Update: uitleg over de aard van het lek, en reactie van Transavia toegevoegd.

Door Tijs Hofmans

Redacteur

Feedback • 24-02-2020 13:2193

24-02-2020 • 13:21

93 Linkedin

Lees meer

AP legt Transavia boete op van 400.000 euro na datalek door slechte beveiliging Nieuws van 12 november 2021
RTL: bsn's van miljoenen Nederlanders online te zien door verlopen domeinnaam Nieuws van 1 oktober 2020
Autoriteit Persoonsgegevens gaat bedrijven met PSD2-vergunning onderzoeken Nieuws van 24 februari 2020
Gezondheidsgegevens van ggz-patiënten Pro Persona zijn gestolen door phishing Nieuws van 7 februari 2020
Blokker waarschuwt onbekend aantal klanten voor datalek Nieuws van 17 januari 2020
T-Mobile heeft in VS datalek dat meer dan miljoen klanten treft Nieuws van 25 november 2019
Klachtenregistratiesysteem omwonenden Schiphol is offline na ontdekking van lek Nieuws van 25 oktober 2019
Meer producten en artikelen
Beveiliging en antivirus Privacy Datalek

Reacties (93)

-Moderatie-faq
-193093+151+21+30Ongemodereerd38
Wijzig sortering
+1Jhingha
24 februari 2020 13:24
Een mailbox inbraak maar geen contactgegevens zoals e-mail adressen? Hoe moet ik me dat voorstellen?
Auteur+1Tijs Hofmans
@Jhingha24 februari 2020 13:53
Die stonden in een bestand in de mailbox, hoogstwaarschijnlijk een Excel-bestand (dat laatste is niet bevestigd).
+1Sledge HaMMeR
@Tijs Hofmans24 februari 2020 14:22
Het is natuurlijk een beetje koffiedik kijken, maar als dit soort bestanden (type bulk personalia) via mail worden gedistribueerd binnen Transavia, kun je vraagtekens zetten of de GDPR implicatie an sich wel helemaal goed verlopen is. Significant onderdeel is toch dat je op schrift stelt (en er naar handelt) hoe toegang tot dergelijke gegevens is geregeld, met als hoeksteen dat zij zonder noodzaak geen inzicht hebben. Lijsten rond mailen is daar niet de meeste geschikte methode voor bevonden.
+1jqv
@Sledge HaMMeR24 februari 2020 14:43
Het was in 2015 verzonden.

Toen GDPR nog niet van toepassing was.
Dat de diefstal nu gepleegd is, maakt alleen maar duidelijk dat de beveiliging niet op orde is. Vermoedelijk door een zwak wachtwoord.
+1mcDavid
@jqv24 februari 2020 15:45
Dat is nog steeds geen excuus. Bij mij op het werk hebben we rond de invoering van de GDPR alle bedrijfs-mailboxen voor zover mogelijk gepurged tot een half jaar terug, iets wat we sindsdien systematisch doen. JUIST om te voorkomen dat er ergens nog dit soort data slingert, ondanks dat we daar eigenlijk altijd al redelijk zorgvuldig mee waren.

Met mail weet je natuurlijk nooit wat mensen nog op hun eigen computer of telefoon hebben staan, maar gezien de aard van dit lek lijkt het me om gegevens te gaan die in een online-mailbox stonden en niet van een fysieke device gestolen zijn.

[Reactie gewijzigd door mcDavid op 24 februari 2020 15:46]

+1cracking cloud
@mcDavid24 februari 2020 16:58
Hoe is dat werkbaar? Alle ‘oude’ emails verwijderen?
+1mcDavid
@cracking cloud24 februari 2020 17:45
Hoezo zou dat *niet* werkbaar zijn? Alles wat je na een half jaar nog nodig zou kunnen hebben uit je mailbox, is informatie die je op een andere/beter geschikte plek had moeten opslaan. Bijvoorbeeld door het te downloaden naar je eigen laptop, waar je full disk encryption en (hopelijk) een sterk wachtwoord op hebt, en die niet online benaderbaar is.
+1cracking cloud
@mcDavid24 februari 2020 20:37
Dat is super onhandig omdat je dan op 2 of 3 plekken moet zoeken ipv 1
0mcDavid
@cracking cloud25 februari 2020 08:57
Sja, het makkelijkst is al je klantdata op een publieke FTP server te gooien natuurlijk.

Ik ben er blij mee dat we bij mijn werkgever wél net even dat extra beetje moeite nemen om onze klanten zo goed mogelijk te beschermen.
0cracking cloud
@mcDavid25 februari 2020 09:31
wie heeft het over een publieke ftp server?
+1Moartn
@cracking cloud24 februari 2020 17:10
Er zijn bedrijven waar standaard een expiry policy op e-mail staat idd. Dus mails ouder dan x dagen/wekend/maanden worden dan idd automatisch verwijderd. Tenzij je het bewust in een soort archief-map zet.
0icecreamfarmer
@Moartn25 februari 2020 08:37
Lijkt mij echt bloedirritant.
+1CivLord
@jqv24 februari 2020 15:25
De GDPR zegt ook iets over het bewaren van gegevens. Je mag gegevens niet langer bewaren dan strikt noodzakelijk. Dat geldt ook voor gegevens die zijn opgeslagen voordat de GDPR in werking trad.
Nu kunnen er natuurlijk gegevens in die mail staan die het bewaren ervan noodzakelijk maken voor bv. de Belastingdienst.
0DiedX
@jqv24 februari 2020 16:53
De wbp was wél van toepassing.
0R4gnax

@DiedX24 februari 2020 19:26
De wbp was wél van toepassing.
En die verbood dit soort ongein idd. net zo goed.
0cariolive23
@jqv24 februari 2020 17:26
Het was in 2015 verzonden.

Toen GDPR nog niet van toepassing was.
Als de inbraak heeft plaatsgevonden ná 25 mei 2018, is GDPR gewoon van toepassing. Je moet vanaf die datum de data op orde hebben.
0tweaknico
@jqv24 februari 2020 17:37
De GDPR is alleen maar een aanscherping geweest van regels die voor die tijd ook al golden. Alleen zate er in het verleden geen sancties op. Dat is met name gerepareerd.

Dus het was in het verleden niet echt strafbaar, maar wel een overtreding. Nu is het ook strafbaar. (en met relevante boete bedragen ipv. wat fooien).
+1bassekeNL
@Jhingha24 februari 2020 13:27
Ik vermoed dat er bestanden/gegevens in de e-mails stonden en zo werden doorgegeven.
+1Nevel
@bassekeNL24 februari 2020 14:03
Ik denk dat je gelijk hebt. Dat lijkt mee een kwalijke zaak, want dergelijke gegevens horen (indien uberhaupt nodig) natuurlijk op een veiligere manier toegankelijk te worden gemaakt. Dat iemand bestanden met potentieel gevoelige data per mail verstuurt lijkt me daarnaast ook een probleem in de bedrijfscultuur.
+1Petertjuh360
@Jhingha24 februari 2020 13:26
De zin heeft betrekking op het bestand, niet op de andere mails in de mailbox.
+1Aiii
@Jhingha24 februari 2020 13:26
De data zat als bijlage bij een e-mail dat naar de betreffende mailbox is gestuurd.
0tweaknico
@Aiii24 februari 2020 17:39
Dan waren de gegevens ook al gelekt naar evt. meekijkende/luisteren entitieten waar de mail langs gekomen is.
0R4gnax

@tweaknico24 februari 2020 19:24
Dan waren de gegevens ook al gelekt naar evt. meekijkende/luisteren entitieten waar de mail langs gekomen is.
Mail kan encrypted verstuurd zijn, dus het scenario wat je daar schetst is geen zekerheid.
0tweaknico
@R4gnax24 februari 2020 20:17
Dan was de INHOUD encrypted. Zo niet dan is het niet encrypted verzenden van mail eenvoudig om te organiseren. MITM waarbij STARTTLS uit de stream and capabilities verwijderd worden. Iemand die kan afluisteren kan ook TLS van poort 25 voorkomen.

Dus zonder PGG / S/MIME of anders encrypted inhoud is mail "openbaar" leesbaar of leesbaar te maken. (evt. zonder verdere sporen achter te laten).
0R4gnax

@tweaknico24 februari 2020 21:22
Dan was de INHOUD encrypted. Zo niet dan is het niet encrypted verzenden van mail eenvoudig om te organiseren. MITM waarbij STARTTLS uit de stream and capabilities verwijderd worden. Iemand die kan afluisteren kan ook TLS van poort 25 voorkomen.

Dus zonder PGG / S/MIME of anders encrypted inhoud is mail "openbaar" leesbaar of leesbaar te maken. (evt. zonder verdere sporen achter te laten).
Niet als servers geen outgoing verkeer toestaan wanneer STARTTLS niet present is, maar in zo'n geval een not-delivered terug sturen naar de verzender.

Tja; ben je inderdaad wel afhankelijk van derden. Maar dat ben je eigenlijk sowieso met welke vorm van relay of endpoint die niet onder je eigen controle staan dan ook, tenzij je data E2E encrypted is.

[Reactie gewijzigd door R4gnax op 24 februari 2020 21:23]

0tweaknico
@R4gnax24 februari 2020 21:43
Of WEL accepteren van TLS in sessie met afzender, niets loggen in de mail en bekijken en daarna door sturen...
+1xoniq
@Jhingha24 februari 2020 13:26
Inbrekers hadden toegang tot een mailbox van het bedrijf. Daarin zat een bestand met de gegevens van 80.000 passagiers.
Het artikel gaat dan ook puur om de gegevens van passagiers, niet eventuele andere gegevens uit die mailbox.

[Reactie gewijzigd door xoniq op 24 februari 2020 13:27]

0Aaargh!
24 februari 2020 13:29
Welke idioot verstuurt nu persoonsgegevens via e-mail ? Ik dacht dat ondertussen iedereen wel weet dat e-mail op geen enkele manier beveiligd is en je dus nooit gevoelige dingen via mail moet versturen.
+1dez11de
@Aaargh!24 februari 2020 13:38
Ik moet een wachtwoord invoeren als ik bij m’n email wil dus “op geen enkele manier beveiligd” lijkt me al onjuist.
Daarnaast nog 2fa en dat geldt als een degelijke beveiliging. Daar bovenop gebruikt m’n mailprovider dingen als TLS om mail in transit veilig te houden.
Ik zie het probleem met e-mail niet.
+2Polderdijk
@dez11de24 februari 2020 14:22
Daar bovenop gebruikt m’n mailprovider dingen als TLS om mail in transit veilig te houden.
Even ter aanvulling, TLS werkt alleen zowel de ontvanger, als de verzender TLS heeft geconfigureerd op de mailserver, en eventuele mailservers ertussenin.

Daarnaast gok ik ook dat doorgaans alle mail gewoon als plain tekst ergens op een mailserver bewaard wordt.

Dus mail is zeker niet een veilig communicatie middel, ongeacht of je aan de 'voorkant' inlogt met 2FA of welke andere methode dan ook :)
+1CivLord
@dez11de24 februari 2020 15:36
Dat wachtwoord en de 2FA is voor de toegang tot je mailbox. Maar alleen wanneer zowel verzender als ontvanger en eventuele mailservers daar tussen in TLS ondersteunen, wordt je mail versleuteld verzonden. Wanneer één van die schakels geen TLS ondersteunt, wordt je email als plain text verstuurd.
0dez11de
@CivLord24 februari 2020 16:00
Welke mailserver ondersteund geen tls? Allemaal toch wel.
+1CivLord
@dez11de24 februari 2020 16:03
Maar zijn ze ook allemaal (correct) geconfigureerd?
0dez11de
@CivLord24 februari 2020 16:08
Daar ga ik vanuit, bij alle mailtjes die ik ontvang staat altijd zo’n slotje. Al jaren niet meer meegemaakt dat het niet zo was.
+1.muts
@dez11de24 februari 2020 14:10
@Aaargh! zegt het ook al.

Waarom denk je dat de AIVD dit beleid bedacht heeft?
U kunt niet e-mailen met de AIVD. E-mailverkeer via internet is kwetsbaar, omdat anderen ongewenst en ongemerkt kunnen meelezen. Daarom kan alleen telefonisch en schriftelijk contact worden gezocht met de AIVD.
Bron: aivd website
0dez11de
@.muts24 februari 2020 16:04
Want telefonie en post kan niet afgeluisterd worden? Erg naïef van de aivd.
Er zou eigenlijk alleen in beige regenjas in verlaten parkeergarages gecommuniceerd moeten kunnen worden.
0tweaknico
@.muts24 februari 2020 17:44
Vandaar dat secuirty aware bedrijven een Public PGP-key publiceren waarmee mail aan het bedrijf ge-encrypt kan worden zodat met de juiste afdeling vertrouwelijk kontact opgenomen kan worden.

Dat is geen rocket science.
+1Madden
@dez11de24 februari 2020 15:09
Leuk al die beveiliging, maar hoe gaat jou dat helpen als je het naar domweg de verkeerde persoon mailt?

Dus nee, email is geen veilig medium (en ik zie het probleem dus wel)...
+1CivLord
@Aaargh!24 februari 2020 15:38
Interne mail verlaat de eigen mailserver van het bedrijf niet, het verschuift alleen van de ene mailbox naar de andere. Binnen een bedrijf is dat veilig genoeg, zolang de toegang tot de mailserver maar goed genoeg beveiligd is.
+1jpsch
24 februari 2020 13:25
Benieuwd hoe lang ze dit weten. Melden na vijf jaar lijkt me vrij laat.
+1Nas T
@jpsch24 februari 2020 13:30
Dit:
Door het lek zijn tachtigduizend passagiers getroffen die tussen 21 en 31 januari 2015 met de maatschappij hebben gevlogen.
is niet hetzelfde als dat toen de data is gelekt ;).
0jpsch
@Nas T24 februari 2020 13:40
Zou dat veel verschillen?
+1Sand0rf
@jpsch24 februari 2020 13:45
Als deze dataset nu is gebruikt om analyses op te doen (bijvoorbeeld voor stagaires, proof of concepts of iets dergelijks) dan kan dat best. Het is niet ongebruikelijk om daar oude datasets voor te gebruiken.
+1jpsch
@Sand0rf24 februari 2020 13:47
Het is niet ongebruikelijk om testsets te anonimiseren.
+1Blokker_1999

@Sand0rf24 februari 2020 14:13
Het kan evenzeer een mail van 2015 zijn.
+1Tweakers Fanboy
@jpsch24 februari 2020 13:32
De gegevens die zijn buitgemaakt zijn van 2015, dat wil niets zeggen over wanneer de data is uitgelekt.
+1trisje
@jpsch24 februari 2020 14:13
Nou Misschien betreft het een oud mailtje in de mailbox, niets bijzonders dat mensen van 5 jaar terug aan mails in hun mailbox hebben staan.
+1CamelKnight
24 februari 2020 13:27
Ik denk dat het tijd gaat worden dat burgers zelf bedrijven gaan aanklagen die hun data niet veilig genoeg opgeslagen hebben. Dit soort meldingen loopt inmiddels de spuigaten uit en bedrijven lijken niet voldoende te beseffen (of er ook maar ene *** om te geven) wat voor een impact dit kan hebben. De achteloosheid die tentoongespreid wordt door verschillende bedrijven is behoorlijk ernstig. Misschien moeten ze het dan maar voelen in hun portemonnee, en dan niet alleen door een AP boete, maar ook door rechtszaken van de gedupeerden.
+1telenut
@CamelKnight24 februari 2020 13:50
en welke burger heeft daar tijd en geld voor?
+1jochemd
@CamelKnight24 februari 2020 14:36
Om het bedrijven te laten voelen in de portemonnee is aanklagen helemaal niet nodig. Gewoon de pocedures doorlopen en wat AVG / Privacy Shield verzoekjes indienen is al voldoende om het heel snel in de papieren te laten lopen.

Bijvoorbeeld Marriott: vraagje indienen om een compleet overzicht van alle persoonsgegevens te krijgen. Als ze de reactietermijn overschrijden en een compleet onleesbaar antwoord sturen (JSON in Excel converteren naar PDF levert halve informatie op tenzij je de kolommen heel breed maakt) een verzoek tot bemiddeling indienen. Anderhalve maand later zit je in een conf call met medewerkers, externe advocaten en een mediator.

Ik heb nu een bevestiging dat ik uit al hun systemen gewist ben. Marriott zal vanwege hun lakse reactie op mijn originele verzoek denk ik zo'n $25K extra aan juridische kosten hebben gemaakt. (Alleen de mediator was al $10K per dag, en onder Privacy Shield regels wordt dat betaald door het bedrijf.)

[Reactie gewijzigd door jochemd op 24 februari 2020 14:54]

0R4gnax

@jochemd24 februari 2020 19:31
Ni---ce.

Benieuwd of het ook zo ver moet komen om bijv. Valve/Steam te dwingen inzage te geven in hun recente data-honger; specifiek n.a.v. alle gegevens die ze recent zijn gaan eisen bij een aankoop onder het mom van "is nodig voor de belasting."

[Reactie gewijzigd door R4gnax op 24 februari 2020 19:32]

0Prinzie
@CamelKnight24 februari 2020 14:02
En jij denkt dat je als brave burger überhaupt kans hebt van slagen tegen zulke miljoenen/miljarden bedrijven door middel van een rechtsgang?
+1CamelKnight
@Prinzie24 februari 2020 14:06
ook @telenut : op deze manier hebben die bedrijven natuurlijk bij voorbaat al gewonnen. Niks zo goedkoop en zo eenvoudig als een burger die zich nog wel eens omdraait om ook zijn andere wang te tonen.
Niet alle slechte publiciteit is goed voor een bedrijf. Met voldoende negatieve berichten in de vorm van rechtszaken, zullen anderen zich nog wel eens goed beraden of bedrijf X wel zo veilig omgaat met hun data. Of dat product dat ze aanbieden nou zo revolutionair is of niet maakt dan weinig meer uit.
+1jqv
@Prinzie24 februari 2020 14:48
Dat is de reden dat vaak gedupeerden samen in een stichting de strijdt aangaan.
Met voldoende budget en kennis van zaken, trekken grote bedrijven alsnog aan het kortste eind.

Denk aan de woekerpolis-affaire. Daarin moesten de banken toch echt met de billen bloot.
0R4gnax

@jqv24 februari 2020 19:30
Denk aan de woekerpolis-affaire. Daarin moesten de banken toch echt met de billen bloot.
Behalve dat de banken er relatief gezien nog steeds met een schijntje van afkomen en de mensen die zich bij deze stichtingen aangesloten hebben het met een token-bedrag mogen doen wat nog niet een fractie van de werkelijk geleden schade betreft.

Want de stichting heeft gewoon geschikt; omdat ook voor hen het voeren van een rechtszaak te duur zou zijn; met te onzekere uitkomost; en vooral: te lang op zich zou laten wachten.
+1--jasper--
24 februari 2020 13:34
Hoelang mag een bedrijf persoonsgegevens bewaren? En moeten ze het verwijderen als ik het vraag?
Ik bedoel gegevens van vijf jaar oud dat is toch onnodig?
+1MatsSkoe
@--jasper--24 februari 2020 13:50
Fiscale bewaarplicht is 7 jaar, weet niet of dit geanonimiseerde gegevens mogen zijn met bijvoorbeeld enkel relatienummer. Pas sinds de nieuwe AVG moet de bewaartermijn beschreven zijn in de overeenkomst persoonsgegevens klant / bedrijf, maar dat was toen nog niet. Verder is het natuurlijk vanuit bedrijfskundig oogpunt zeer waardevolle data om bijvoorbeeld te zien, wie wat waar en wanneer aan tickets gekocht heeft. Dus als je met onnodig bedoelt 'niet noodzakelijk' dan zullen de meningen hierover verschillen.
+1CivLord
@MatsSkoe24 februari 2020 15:50
Gegevens voor de belastingdienst mogen niet geanonimiseerd zijn. Wel gepseudonimiseerd met bv. een relatienummer waarbij het relatienummer via een ander systeem aan een persoon of bedrijf te koppelen is.

Bedrijven waar grote hoeveelheden geld in omgaan zijn aantrekkelijk voor witwassen. Daarom moet geld vanaf ontvangst tot uitgave gevolgd kunnen worden en gekoppeld moeten kunnen worden aan echte klanten en echte leveranciers/ dienstverleners.
Nu zal Transavia niet zo snel een paar ton aan drugsinkomsten boeken als een vliegtuig vol passagiers en de betaling aan de drugsbaas boeken als havendiensten, maar ze moeten wel aan de algemene regels voldoen.
0R4gnax

@CivLord24 februari 2020 19:42
Gegevens voor de belastingdienst mogen niet geanonimiseerd zijn. Wel gepseudonimiseerd met bv. een relatienummer waarbij het relatienummer via een ander systeem aan een persoon of bedrijf te koppelen is.
Klopt. Als bedrijven bijv. BTW aangifte doen onder MOSS (Mini One-Stop Shop), hoeven ze enkel geaggregeerde data in te sturen en zijn ze ook niet verplicht om alsnog volledige transactie- en factuur-gegevens zelf te bewaren. Zolang deze gegevens via gekoppelde transactie-IDs op een later tijdstip maar te herleiden zijn - is het goed.
Onder MOSS geldt daarnaast dat je de complete identiteit van de koper niet eens vast hoeft te leggen. Je hoeft enkel 2 niet-conflicterende criteria aan te brengen waar uit duidelijk komt wat de 'lidstaat van consumptie' is - dwz de lidstaat waar de BTW naar toe zou moeten. Gegevens zoals IP adres zijn daar ook al afdoende voor.

En daarnaast geldt vziw in Nederdland dat voor retailverkoop er geen factuurplicht is. In landen als Duitsland geldt zelfs dat voor verkoop aan consumenten enkel bij verkoop gerelateerd aan vastgoed er een factuurplicht is.

[Reactie gewijzigd door R4gnax op 24 februari 2020 19:43]

0CivLord
@R4gnax25 februari 2020 08:03
Klopt, voor verkoop aan consumenten is er in de meeste gevallen geen factuurplicht. Maar wanneer je een factuur maakt, of gegevens vastlegt voor de verzending, dan maken die gegevens deel uit van je verkoopadministratie, die je 7 jaar moet bewaren.
0R4gnax

@CivLord25 februari 2020 08:14
Klopt, voor verkoop aan consumenten is er in de meeste gevallen geen factuurplicht. Maar wanneer je een factuur maakt, of gegevens vastlegt voor de verzending, dan maken die gegevens deel uit van je verkoopadministratie, die je 7 jaar moet bewaren.
Als het een fysieke verzending betreft, dan inderdaad wel. Maar niet alles is tegenwoordig meer fysiek. MOSS is dan ook bedoeld voor internationaal opererende elektronische dienstverleners. ;)
0CivLord
@R4gnax25 februari 2020 08:19
Klopt. Dan heb je die gegevens dus niet en heb je niets om te bewaren. En bij verkoop aan consumenten is er ook geen reden om meer gegevens te vragen.
+1flabber
@--jasper--24 februari 2020 13:46
Dat hangt helemaal af van welk persoonsgegeven.
Veel zaken die met belastingen te maken hebben moetn een minimale periode bewaard worden.
En een persoonsgegeven als..., nou, kom, laten we zeggen een veroordeling wegens moord,
Dat is toch ook iets dat wel langer bewaard wordt dan 5 jaar.

En dan helpt een beroep op je 'recht om vergeten te worden' ook echt niet...... :)
0R4gnax

@flabber24 februari 2020 19:35
En een persoonsgegeven als..., nou, kom, laten we zeggen een veroordeling wegens moord,
Dat is toch ook iets dat wel langer bewaard wordt dan 5 jaar.
Leuk dat je die aanhaalt; want specifiek gegevens over criminele veroordelingen mogen helemaal niet vrijelijk verwerkt worden. Enkel de staat en door haar select aangegeven en streng gekeurde verwerkers mogen daar iets mee doen.
+1kodak

24 februari 2020 14:52
Wat ik niet snap is dat Transavia dus wel controle doet om te herkennen dat er ongewenst gebruik is maar niet effectief bleek in het voorkomen van ongewenst gebruik. Dat is dweilen met een kraan open. Als die maatregelen nu niet inhouden dat ze ook beleid tegen zwakke wachtwoorden hebben en dat ook niet continue forceren gaat er weinig verbeteren. En als ze dit soort persoonsgegevens laten slingeren, niet actief opsporen en beslissen tot verwijderen is het monitoren op afwijkend gebruik ook niet effectief.
+1CivLord
@kodak24 februari 2020 15:57
Wat is een zwak wachtwoord?

Is dat Welkom01?
Of is dat Frt56Kgf#$ voor mailbox kodak@transavia.nl, wanneer eerder bij een hack van de systemen van een webshop gezien is dat Frt56Kgf#$ het wachtwoord van gebruiker kodak@Ziggo.nl?
Beiden natuurlijk, maar alleen het eerste kan je als bedrijf afvangen.
+1tweaknico
@CivLord24 februari 2020 17:41
of zelf op een webshop het adres: kodak@transavia.nl gebruikt heeft met een gelijk ww....
+1StephanVierkant
@CivLord24 februari 2020 17:48
Dat tweede kun je inderdaad niet voorkomen, maar een begin zou zijn om de API van HaveIBeenPwned.com te gebruiken. Dit heeft bijv. Symfony ook geïmplementeerd in de Validator Component. Zo kun je op een veilige manier voorkomen dat gebruikers een wachtwoord gebruiken dat al een keer is uitgelekt. Niet waterdicht, maar het is een eerste stap. Daarmee voorkom je ook dan mensen 12345 of Welkom01 gebruiken, want die zitten ook al in die database.
0kodak

@CivLord24 februari 2020 18:25
Transavia beschrijft de oorzaak als zwak wachtwoord, dus dan hebben ze daar blijkbaar een definitie van die ze kunnen toepassen.
0R4gnax

@CivLord24 februari 2020 19:46
Beiden natuurlijk, maar alleen het eerste kan je als bedrijf afvangen.
Je kunt bijv. geregeld sites als Have I been 0wned? gaan scrapen voor 'gevoelige' account namen en email addressen en dan preventief een reset van wachtwoorden afdwingen als je iets tegenkomt wat gerelateerd lijkt. Of je kunt werknemers een 2FA sleutel verstrekken en bedrijfsbreed enkel werken met een mail-systeem waar 2FA geforceerd op zit.

[Reactie gewijzigd door R4gnax op 24 februari 2020 19:47]

0Trommelrem
@kodak24 februari 2020 21:59
Een zwak wachtwoord is tegenwoordig veiliger dan een sterk wachtwoord.
+1AOC
24 februari 2020 13:27
Dit soort berichten zie ik steeds vaker waardoor ik na zit te denken om al mijn oude accounts op internet te verwijderen. Nu twijfel ik alleen aan het nut hiervan. Eerder heb ik bij Plus500 een account aangemaakt. Na een maand verloor ik mijn interesse en had het account verwijderd. Paar maanden later wekte mijn interesse weer op. Met een kort mailtje naar Plus500 konden ze mijn oude account weer activeren. Alle data stond er nog precies in zoals ik het eerder had achtergelaten :+
+1MatsSkoe
@AOC24 februari 2020 14:07
Ik ben nu begonnen met oude account overzetten en nieuwe accounts aanmaken via specifieke emailadressen voor elk account die enkel geforward worden naar een mailbox. Als je dan nog bij voornaam het bedrijf waar je account hebt invult dan zie je aan de spammail al snel welke bedrijf je e-mailadres of persoonsgegevens verkocht of gelekt heeft.
+1AOC
@MatsSkoe24 februari 2020 15:00
Klopt, dat doe ik ook overigens. Wel vind ik het belangrijker dat ik controle heb over mijn data. Een bedrijf als Plus500 heeft mijn financiele gegevens (creditcard, paspoort etc etc). Spam vind ik niet zo erg maar als een bedrijf gehackt wordt welke over mijn persoonlijke/belangrijke data beschikt dan wil ik wel, dat wanneer ik mijn account verwijder, dat soort gevoelige data ook verwijderd wordt.
+1jochemd
24 februari 2020 14:53
Ook ging het om vluchtgegevens en eventuele extra diensten die passagiers hadden bijgeboekt, zoals het meenemen van bagage, skispullen of rolstoelen. Het bedrijf zegt dat er geen gevoelige gegevens, zoals creditcard- of paspoortgegevens, zijn gestolen.
Op die laatste zin hebben een paar juristen en marketeers heel lang zitten broeden denk ik. De AVG kent het begrip "gevoelige gegevens" helemaal niet, dus zeggen dat die er niet in zaten is volkomen betekenisloos. De AVG kent wel het begrip "bijzondere gegevens", zoals gegevens over ras, godsdienst en gezondheid. Als er informatie over rolstoelen in het bestand zat, dan zijn er dus wel degelijk bijzondere persoonsgegevens uitgelekt.
+1Anoniem: 100386
@jochemd24 februari 2020 15:45
Inderdaad. En daarbij vind ik voornaam + achternaam + geboortedatum al gevoelig genoeg.

Ipv eerlijk zijn, proberen ze de verantwoordelijkheid & excuses te ontduiken. Eerlijkheid is ver te zoeken.

[Reactie gewijzigd door Anoniem: 100386 op 24 februari 2020 15:46]

0tweaknico
@Anoniem: 10038624 februari 2020 17:48
Inderdaad. En daarbij vind ik voornaam + achternaam + geboortedatum al gevoelig genoeg.
Dat is een identificerend kenmerk,
0Djordjo
@jochemd24 februari 2020 16:12
De AVG kent het begrip "gevoelige gegevens" helemaal niet, dus zeggen dat die er niet in zaten is volkomen betekenisloos.
Want, alles wat buiten het begrippenkader van de AVG valt is voor jou betekenisloos? Ik vind het wel relevant om te lezen dat er geen creditcard- of paspoortgegevens gestolen zijn.
0R4gnax

@Djordjo24 februari 2020 19:50
[...]

Want, alles wat buiten het begrippenkader van de AVG valt is voor jou betekenisloos? Ik vind het wel relevant om te lezen dat er geen creditcard- of paspoortgegevens gestolen zijn.
Je leest de intentie verkeerd.
Het betekent dat Transavia's legal en marketing afdeling samen overuren gedraaid hebben om tot een sussende boodschap te komen waarmee ze technisch correct zijn en in juridische zin niet liegen.

(In realiteit zou een competente rechter daar echter zo doorheen moeten prikken. Maar ja; competent is ook zo'n ding op het snijvlak van IT & Privacy.)

[Reactie gewijzigd door R4gnax op 24 februari 2020 19:50]

+1Kecin
24 februari 2020 13:45
Hoe vaak ik wel niet in het echt heb gezien dat er een klantenexport wordt gemaakt voor de marketingafdeling. Lekker intern doorsturen in een zipje, kan geen kwaad toch?

Vervolgens in het mailprogramma inladen, de extra gegevens erbij, zo lekker automatisch met je Salesforce/Mailchimp whatever oplossing lekker targetten. Ging toch altijd goed?

Nou, hier heb je het dus. Prullebakken die niet worden leeggehaald, grote zip-files, intern versturen, staat nog ergens in de inbox of op de desktop (want binnen het bedrijf is het toch veilig?! Ik heb een wachtwoord; welkomtransavia01)

Deel sarcasme, deel waarheid. Ik denk dat het zoiets is.
+1Aaargh!
24 februari 2020 13:53
Ik moet een wachtwoord invoeren als ik bij m’n email wil dus “op geen enkele manier beveiligd” lijkt me al onjuist
Mail gaat plain-text het internet over, er is geen end-to-end encryptie, je kan er dus totaal niet van uit gaan dat er niemand meeleest.

Jij verwart toegang tot jouw mailbox met hoe e-mail tussen mailservers verstuurd wordt.

[Reactie gewijzigd door Aaargh! op 24 februari 2020 13:53]

0Damian
@Aaargh!24 februari 2020 15:49
Mail gaat tegenwoordig volgens mij gewoon TLS versleuteld het net op. In ieder geval tussen Office 365 en Gmail e.d.
0Trommelrem
@Aaargh!24 februari 2020 22:00
Tegenwoordig zit ieder bedrijf in Office 365. De Office 365 smtp server communiceert gewoon over een beveiligde verbinding met externe partijen. Daarnaast kan ook onveilig transport worden beveiligd met IRM.
1 2

Op dit item kan niet meer gereageerd worden.

Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee