Vliegmaatschappij Air Europa erkent datalek van creditcardgegevens klanten

Air Europa meldt dat er bij een cyberaanval creditcardgegevens van klanten gestolen zijn. De Spaanse vliegmaatschappij raadt alle getroffen klanten in een e-mail aan om de gebruikte creditcard te annuleren en een nieuwe betaalpas aan te vragen.

Het bedrijf heeft het datalek bevestigd tegenover Reuters, maar laat niet weten om hoeveel potentiële slachtoffers het gaat. Air Europa benadrukt dat er 'geen bewijs is gevonden dat wijst op het plegen van fraude met de gegevens'. Toch wordt getroffenen aangeraden om een nieuwe creditcard aan te vragen. Ook wordt slachtoffers in de e-mail nadrukkelijk afgeraden om hun pincode aan partijen te geven die hiernaar vragen. Onder meer creditcardnummers, verloopdata en de 3-cijferige verificatiecodes op de achterkant van creditcards werden door het datalek geopenbaard.

Het is niet voor het eerst dat Air Europa betrokken is bij een dergelijk incident. In 2021 kreeg het bedrijf nog een AVG-boete van 600.000 euro voor het veel te laat melden van een datalek waarbij de creditcardgegevens van 489.000 klanten geopenbaard werden. De vliegmaatschappij lichtte de Spaanse autoriteiten na 41 dagen in over het incident, terwijl dat volgens de AVG binnen 72 uur moet gebeuren. Getroffenen werden toen ook niet over dit incident ingelicht.

Door Yannick Spinner

Redacteur

Feedback • 11-10-2023 09:55
48 • submitter: Wkuijsters

11-10-2023 • 09:55

48

Submitter: Wkuijsters

Lees meer

Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records
Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records Nieuws van 22 januari 2024
Datalek moederbedrijf Vans en The North Face omvat gegevens 35,5 miljoen klanten
Datalek moederbedrijf Vans en The North Face omvat gegevens 35,5 miljoen klanten Nieuws van 22 januari 2024
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval Nieuws van 18 december 2023
Vue Cinemas licht klanten in over datalek bankrekeningnummers deze zomer
Vue Cinemas licht klanten in over datalek bankrekeningnummers deze zomer Nieuws van 16 oktober 2023
Commerciële dna-databank 23andMe reset alle wachtwoorden na datalek
Commerciële dna-databank 23andMe reset alle wachtwoorden na datalek Nieuws van 10 oktober 2023
Data gebruikers grootste Belgische prostitutiesite dreigt op darkweb te komen
Data gebruikers grootste Belgische prostitutiesite dreigt op darkweb te komen Nieuws van 9 oktober 2023
Sony erkent cyberaanval met MOVEit-zeroday, duizenden werknemers getroffen
Sony erkent cyberaanval met MOVEit-zeroday, duizenden werknemers getroffen Nieuws van 5 oktober 2023
Twee derde van Nederlanders doet geen aangifte of melding van cybercriminaliteit
Twee derde van Nederlanders doet geen aangifte of melding van cybercriminaliteit Nieuws van 2 oktober 2023
Vervoerder Arriva waarschuwt klanten voor datalek via contactformulier
Vervoerder Arriva waarschuwt klanten voor datalek via contactformulier Nieuws van 27 september 2023
Meer producten en artikelen
Beveiliging en antivirus Privacy Creditcard Cybercrime Datalek Vliegticket Vliegtuig

Reacties (48)

-Moderatie-faq
48
48
17
1
0
28
Wijzig sortering
Rex 11 oktober 2023 10:05
Ik vind het echt niet kunnen dat WIJ (consumenten) onze creditcards individueel moeten annuleren.
(Bij één van mijn banken moet ik bijvoorbeeld 9 euro betalen om een nieuw pasje te krijgen.)

Er moet toch gewoon een procedure zijn om alle betaalpasjes pro-actively te annuleren? Mijn bank, Revolut, heeft 2 jaar geleden ook tienduizenden debitcards geannuleerd toen een grote UK webshop werd gehacked. Alle Revolut klanten kregen gratis en automatisch een nieuwe debitcard thuisgestuurd.

Als bank / MasterCard / Visa kun je dit toch gewoon regelen voor je klanten?

[Reactie gewijzigd door Rex op 27 juli 2024 18:26]

michelr @Rex11 oktober 2023 10:23
Dat lijkt een goed idee, tot je in het buitenland bent en je jezelf afvraagt waarom je CC opeens niet meer werkt en en je verstoken bent van betaalmiddelen.
kodak
@michelr11 oktober 2023 11:01
Alleen is de kans dat je betaalpas opeens niet meer gebruikt kan worden er al. De bank kan namelijk ook preventief betaalmiddelen blokkeren. Dat doen ze al jaren bij genoeg vermoeden van skimming of diefstal.
litebyte @kodak11 oktober 2023 20:20
Oh, ik heb al 2 keer in het buitenland gehad dat mijn cc (ivm een opvallend gebruikspatroon..iets in die trant) werd geblokkeerd, kon wel weer worden geactiveerd, maar toch lastig als je ergens staat en cc werkt opeens niet meer
Rex @michelr11 oktober 2023 13:28
Er zijn 100.000 oplossingen te verzinnen.
  • Je kunt als bank al je (affected) klanten automatisch een nieuwe creditcard opsturen met een brief waarin staat dat hun huidige creditcard binnen 4 weken wordt opgezegd. Je hebt dus gewoon een overgangsperiode.
  • De meeste banken hebben ook noodopties om in het buitenlandse bank geld te "pinnen" als je creditcard het niet doet of gestolen is.
  • Of je zet de pasjes uit en als iemand echt perse bij zijn/haar geld moet, dan moet de klant het maar weer tijdelijk aanzetten.
Het kan dus wel, maar de banken moeten wel mee willen werken.
bytemaster460 @Rex11 oktober 2023 21:14
Banken draaien zelf op voor fraudegevallen. Waarschijnlijk is het voor hen veel goedkoper om gericht de transacties te monitoren en eventueel misbruik te vergoeden dan allerlei preventieve acties uit te gaan zetten waarbij vele mensen mogelijk beperkt worden.
Daarnaast heb je natuurlijk meer partijen. De bank is niet de creditcardmaatschappij.

[Reactie gewijzigd door bytemaster460 op 27 juli 2024 18:26]

Elidibus @michelr11 oktober 2023 15:39
Dit heb ik overigens een keer in eigen land gehad met een debetkaart van de Rabobank. Schijnbaar was er verdachte activiteit in de winkelstraat, waarbij ze schijnbaar alle passen die binnen een bepaalde tijdspannen en radius van de verdachte activiteit zijn gebruikt preventief blokkeren. Had wel snel een nieuwe pas, maar zou toch vervelend zijn als je op vakantie bent.

Anyways, ze doen dit dus eigenlijk al... Het is altijd handig om meerdere passen te hebben van verschillende banken/providers
bussie66 @michelr11 oktober 2023 17:30
Daarom heb ik 2 normale en 2 creditcards.
Z80 @Rex11 oktober 2023 10:28
Liever niet. Ben je op vakantie kun je ineens niet meer betalen met de CC.
Een bericht dat er mogelijk CC gegevens zijn gelekt en wat te doen zou voor veel gebruikers beter zijn.

Daarbij is in dit geval Air Europa verantwoordelijk voor al het gestolen geld. Zij hebben verificatie code opgeslagen terwijl dit verboden is. Hiermee zijn zij verantwoordelijk voor alle kosten die er uit dit lek komen.
The Zep Man
@Z8011 oktober 2023 10:31
Liever niet. Ben je op vakantie kun je ineens niet meer betalen met de CC.
Een bericht dat er mogelijk CC gegevens zijn gelekt en wat te doen zou voor veel gebruikers beter zijn.
Ook wordt het risico van replay attacks met kredietkaartgegevens erkend en afgevangen. Kredietkaartmaatschappijen weten snel genoeg dat een kredietkaart misbruikt wordt, en zijn ze coulant met het terugdraaien van transacties als duidelijk is dat de consument daar niet verantwoordelijk voor is.
kodak
@The Zep Man11 oktober 2023 11:06
Alleen is het herkennen niey zomaar op tijd, wat een bank geld kost. Banken willen winst maximaliseren, geen verlies. Dus preventief blokkeren is eerder een middel dan hopen dat criminelen niet de gestolen gegevens gaan gebruiken. En aangezien de banken hier waarschijnlijk weet hebben dat er te veel risico is kan je al klant prima verwachten dat men de betaalmiddelen alsnog gaat blokkeren of een excuus heeft dat het financieel risico eigenlijk wel mee valt.
Dennisb1 @Z8011 oktober 2023 17:50
Zij hebben verificatie code opgeslagen terwijl dit verboden is. Hiermee zijn zij verantwoordelijk voor alle kosten die er uit dit lek komen.
Is dat zo? Toevallig ben ik nu op vakantie (Tenerife) en willen ze als borg mijn creditcard in het hotel (ondanks dat hotel al vooruit betaald is door TUI)
Die knakker had in handomdraai alle gegevens EN mijn CVV code genoteerd in de computer.
Uiteraard direct mijn ongenoegen geuit maar niks tegen in te brengen en had er maar mee te dealen. Volgens hem viel t allemaal wel mee uiteraard en werd het gewist na vertrek (jaja…) zit in dubio straks bij terugkomst de bank te bellen. Kaart is nog 5 jaar geldig was net een nieuwe..
Z80 @Dennisb111 oktober 2023 21:02
Hier melding van maken bij de CC maatschappij, en indien geboekt via een organisatie ook hier melding van maken. Bij de reviews op internet kun je dit ook vermelden. De CVV mag niet genoteerd worden.

Bij terugkomst dit zeker bij de bank melden. Krijg je direct een nieuwe kaart. Het risico op misbruik is te groot.
CivLord @Z8012 oktober 2023 07:57
Bij bunq kan je zelf de CVV wijzigen (deze staat ook niet op de kaart, alleen in de app).
Dat is in dit soort gevallen wel handig.
Dennisb1 @Z8012 oktober 2023 10:49
Ja inmiddels gedaan bij ING. Zij gaan niet direct over op vervanging maar raden aan het in de gaten te houden en als ik het niet vertrouw na de vakantie even te bellen voor een nieuwe kaart.

Recensie en reisorganisatie zullen hier zeker nog van horen. Volgende vakanties zeg ik bij dit soort dingen gewoon dat ik geen CC heb.

Tevens plak ik er wel een stikker over die code just in case, kan het toch wel onthouden of dan trek ik hem eraf.
meowmofo 11 oktober 2023 10:07
Ik ga er vanuit dat deze maatschappij nooit meer creditcard betalingen mag doen aangezien de PCI-DSS standaard duidelijk aangeeft dat de 3 cijferige verificatiecode niet opgeslagen mag worden (of zou er een script geïnjecteerd zijn geweest die heel lang data heeft staan verzamelen?).
Rex @meowmofo11 oktober 2023 10:10
Ik neem aan dat de MasterCard/Visa-boete die Air Europa (+ hun bank) zullen krijgen, heeeel groot zal zijn.
Jim80 @Rex11 oktober 2023 10:25
Die vervolgens aan de consument wordt doorgerekend. Want de opbrengst van die boete komt natuulijk nooit toe aan de slachtoffers (de klanten) maar verdwijnt steeds (in het beste geval) in de zakken van de overheid.
xzaz @Jim8011 oktober 2023 10:53
'de overheid' ben jij; waar denk je dat je hypotheekrenteaftrek of je kinderbijslag van wordt betaald?
Polydeukes @xzaz11 oktober 2023 13:04
[Off-topic]
...Of zorg, onderwijs, infrastructuur, veiligheid, cultuur, banen (ambtenaren zijn ook mensen met een huur/hypotheek en consumentenuitgaven die de economie draaiend houden). Ik snap die antipathie tegen 'de overheid' ook niet. Tuurlijk zou het allemaal wat efficiënter kunnen en als ze ernstige steken aten vallen zoals met de toeslagenaffaire, dan moet daar tegen worden opgetreden. Maar over het algemeen heeft 'de overheid' een positieve invloed op ons bestaan. Maar mensen zien graag alleen de negatieve kanten, en vergeten dat ze in een van de rijkste en best georganiseerde landen ter wereld wonen. Je hoeft maar een paar uur Europa in te trekken om te zien hoe goed wij het hier hebben. Iedereen die de overheid 'zakkenvullers' noemt heeft geen idee wat er daadwerkelijk met dat geld gebeurt. Alsof het in een potje wordt gestort waar niemand bij mag en het nooit meer uitkomt 8)7

AL het geld wat de overheid int aan belastingen en accijnzen wordt weer uitgegeven. En als dat aan salarissen is, ook salarissen worden weer uitgegeven en ook daar worden weer belastingen over geïnd.
Onbelangrijk @Polydeukes11 oktober 2023 16:48
Als belastingen weer worden uitgegeven aan zaken waar de betalers iets aan hebben vind ik het geen probleem. Hypotheekrente aftrekken en alle toeslagen heb ik helemaal geen voordeel van.

In tegendeel, door bijvoorbeeld de kindersubsidies word de wereld smeriger.

Wegen betaal ik ook voor, dus geen probleem.

Iedereen de eigen broek ophouden. Dus geen expat belastingvoordeel, maar ook geen toeslagen en geen concurrentievoordelen voor grote bedrijven.

Dus jouw bakker in het winkelcentrum dezelfde gasprijs als de bakker van appie en jumbo. Dat dan het brood duurder word bij de supermarkt is jammer dan
Polydeukes @Onbelangrijk12 oktober 2023 09:20
Iedereen de eigen broek ophouden.
En dat werkt dus niet zo. Jij betaalt helemaal niet voor de wegen want dan zou je van bijv. de MRB en accijnzen hooguit een stukje straat voor je eigen huis kunnen bekostigen. Het idee van belastingen is dat we met elkaar geld in een grote pot stoppen en daar gezamenlijk grote uitgaven van doen.

En die bakker betaalt meer per kuub omdát hij minder gebruikt. Dat heet gewoon staffel. Nog even los van het feit dat grote bedrijven in NL moeten concurreren met bedrijven in het buitenland én ze zorgen voor veel werkgelegenheid én stimulering van de economie. De overheid geeft hen daarom kortingen (en dat zijn dus geen verkapte subsidies). Maar genoeg hierover, terug naar het topic.
The Zep Man
@Jim8011 oktober 2023 10:32
Dezelfde consument die vrij is om niet met Air Europa te vliegen.
Jim80 @The Zep Man11 oktober 2023 10:46
Van welk bedrijf kan je dan wel garanderen dat zoiets niet gebeurt?
The Third Man @Jim8011 oktober 2023 12:43
Iets wat niet gegarandeerd kan worden hoef je ook niet af te vragen bij wie het kan.
Gwaihir @Jim8011 oktober 2023 17:02
Het opslaan van de nooit-opslaan verificatiecodes gaat wel ver..
CivLord @The Zep Man12 oktober 2023 07:58
Maar diezelfde consument is dit gebeuren al weer lang vergeten wanneer de vluchten voor de volgende zomervakantie geboekt moeten worden.
vbmot @Jim8011 oktober 2023 13:24
Als een bedrijf door grove nalatigheid kosten of ongemak veroorzaakt, zou hier gewoon een vergoeding tegenover moeten staan, los van de boete. De consument moet vaak betalen voor een nieuwe cc, en het proces van aanvragen kost tijd die ook aan andere zaken besteed had kunnen worden. Aantoonbare schade dus.
bytemaster460 @Jim8011 oktober 2023 19:54
Door concurrentie kun je dat nauwelijks doorberekenen aan de klant. Dat kost je waarschijnlijk maar aan klanten die elders boeken dan dat het je opbrengt.
Boetes zijn nu eenmaal voor de overheid. Als je je persoonlijke schade wil verhalen moet je een civiele zaak starten.
the_stickie @meowmofo11 oktober 2023 11:21
Sowieso bizar dat ze creditcardgegevens (mochten) verwerk(t)en en dus moesten voldoen aan PCI-DSS.
De algemene aanbeveling is gewoon geen credit card gegevens te verwerken tenzij het je core bussines is. Voor relatief lage kosten zijn er massa's 'payment service providers' die die hele zwik voor je regelen. Handelaren verlagen zo hun risico, maar ook en zeker niet in het minst de kost gerelateerd aan PCI deelname.
CivLord @the_stickie12 oktober 2023 08:03
Maar het is zo 'klantvriendelijk' om de gegevens te bewaren, zodat de klant bij een tweede bezoek die gegevens niet meer op hoeft te geven.
the_stickie @CivLord12 oktober 2023 09:53
Dat is helemaal niet nodig; de pagina waarop je die gegevens invult wordt immers door de psp gehost…
Bovendien is het opslaan (verwerken) van kaartgegevens net verbonden aan de PCI-DSS en moet je aan allerlei voorwaarden voldoen, met risico’s op sancties en uitsluiting.
Voldoen aan PCI-DSS is geen grap. Naast de technische kant (die voor elk bedrijf wellicht een goed idee is), is er de administratieve. De overhead is niet te onderschatten!
CivLord @the_stickie12 oktober 2023 13:20
Ik ben het met je eens.
Maar het is zo verleidelijk voor bedrijven om die gegevens op te slaan, om een volgende aankoop nóg makkelijker te maken.
the_stickie @CivLord12 oktober 2023 13:26
De psp doet dat al... als je een psp gebruikt heb je als vendor zelf geen toegang tot de betaalgegevens, enkel tot de transactiegegevens.
CivLord @the_stickie12 oktober 2023 13:34
Maar heeft de psp dan ook al die gegevens al paraat wanneer de klant een volgende aankoop wil doen, zodat de klant zijn gegevens niet opnieuw in hoeft te voeren?
the_stickie @CivLord12 oktober 2023 15:19
In principe kan je browser die gegevens aanvullen, maar inderdaad, de psp kan, net zoals elke webpagina, cookies gebruiken en /of de data die je invult in het webfomulier opslaan. De psp is daarbij wel gebonden aan de afspraken van PCI-DSS, net zoals (in principe) iedereen die kaartbetalingen verwerkt. De verificatiecode zullen zij dus bijvoorbeeld nooit opslaan (enkel gebruiken voor authorisatie, dan 'vergeten')

nofi, maar heb je nog nooit via iDeal, Paypal, Ayden of Ogone of andere psp betaalt? Als je denkt van niet, hou bij je volgende internetbetaling je url balk eens in het oog!
CivLord @the_stickie13 oktober 2023 07:07
Natuurlijk heb ik meegemaakt dat ik bij aankoop van iets op de pagina van een psp terecht kwam. Ofwel meteen voor het opgeven van de betaalgegevens, ofwel direct na het opgeven van de betaalgegevens op een notificatiescherm. Dat is vrij standaard.
Ik kom ook regelmatig tegen dat de webwinkel zelf voorstelt om mijn gegevens te bewaren voor de volgende keer. Ik ga daar vrijwel nooit op in, omdat ik inderdaad mijn browser automatisch mijn betaalgegevens in kan laten vullen en ik mijn CVV inmiddels uit mijn hoofd ken.
xavalon @meowmofo11 oktober 2023 11:47
Je typed het allemaal in een webform, en dus heb je de data. Maar snel secure3D of extra validatie via de ICS app instellen.
duikje @xavalon11 oktober 2023 11:53
Had ik aan staan maar mijn VISA kaart is vorige week toch misbruikt, voor Uber ritten in Australie en Canada, ICS had hem al geflagd als mogelijke fraude voor ik er achter kwam maar had nog geen contact met me opgenomen.
Vermoed dat de gegevens bij een hotel in Thailand gekaapt zijn.
Oja de fraude afdeling heeft een achterstand en ik mag nu een bedrag betalen wat ik dan volgende maand weer terug zou moeten krijgen 8)7
Trekfolie @xavalon11 oktober 2023 16:18
Ik werk voor een grote Nederlandse partij en wij beheren de inputs niet. Dit zijn iframes die onze payment server provider op onze pagina laat zien. Dit geldt voor zowel kaart nummer als cvv. Wij krijgen dit dus niet te zien en wij moeten dit ook elk jaar tijdens onze PCI DSS audit aantonen.
the_stickie @xavalon12 oktober 2023 13:29
Dat webform wordt door de psp gehost. Als vendor heb je geen toegang tot betaalgegevens, enkel tot transactiegegevens.
Net omdat dit ultra-gevoelige data is bestaat het hele PCI-DSS gebeuren en moet je (dus) aan allerhande voorwaarden voldoen om betaalgegevens te mogen verwerken.
(waaronder btw
PCI DSS Requirement 3.2. 2: Do not store the code or the card verification value after authorization. The card verification code is a three-digit or four-digit number printed on the front or back of the payment card used to verify transactions without a card.
)
beany 11 oktober 2023 10:30
Een "voordeel" van al deze datalekken is dat we steeds meer inzicht krijgen in welke data bedrijven opslaan.

Ik bedoel, de 3 cijferige verificatiecode opslaan |:(

Ik hoop dat ooit iemand (journalisten b.v.) hier eens flink induikt en in kaart brengt welke type data er precies wordt opgeslagen door welke bedrijven/organisaties en wat de regelgeving daar over zegt.
marapuru @beany11 oktober 2023 12:35
Zou een interessant onderzoek voor de T.net redactie kunnen zijn.
Polydeukes @marapuru11 oktober 2023 13:09
De voorwaarde is dat bedrijven inzicht geven in welke data ze verwerken (ook als dat tegen de regels is). Gaan ze nooit doen natuurlijk, als ze het überhaupt al zelf weten. Bij grote bedrijven weet afdeling A echt niet wat afdeling E allemaal doet en verwerkt. Ja, volgens de AVG moeten ze dat bijhouden, maar reken maar dat er duizenden excellijsten in omloop zijn met illegale klantgegevens, want zo lekker makkelijk.
marapuru @Polydeukes11 oktober 2023 23:10
Undercover aan de slag dus. Of informatie anderszijds zien te regelen. Daar is journalistiek voor.
Wasabi! 11 oktober 2023 17:13
Wat is eigenlijk het nut van de 3-cijferige verificatiecode op de achterkant?

Vroeger gaf je nog wel eens de cc mee aan de ober, die rekende voor je af. Eigenlijk kan die alles gewoon overnemen. Of als ie gejat wordt.
Ook genoeg websites waar de 3 cijferige code niet eens nodig is voor controle als je iets wil bestellen, laat staan dat je nog een verificatie met een app moet doen.
bussie66 11 oktober 2023 17:28
Kreeg gisteren mail van Air Europa. Gelijk de card laten blokkeren, geen gekke afschrijvingen ed gehad.

Trouwens de ING moet de naam van hun alarmlijn aanpassen in slakkenlijn.
2 keer half uur in de wacht en geen contact :(
Daarna via het normale servicenummer binnen 5 minuten bij de creditcard afdeling 8)7
HSG 12 oktober 2023 07:18
Wanneer heeft dit incident plaatsgevonden?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq