La autoridad de control de Holanda ha impuesto una multa a una compañía aérea por sus insuficientes medidas de seguridad, después de que las vulnerabilidades en las mismas diesen lugar a un ataque.
Una compañía aérea, Transavia, ha sido multada con 400.000€ por la autoridad de control de Holanda tras sufrir un importante ataque vinculado con sus insuficientes medidas de seguridad. Dos cuentas del departamento de IT de la empresa fueron hackeadas, lo que supuso que los atacantes pudieron haber accedido potencialmente a datos personales de más de 25 millones de pasajeros. Por ahora se conoce que han descargado datos personales de 83.000 usuarios.
Existían tres vulnerabilidades de seguridad que hacían a la compañía más susceptible de sufrir un ataque de este tipo.
La descarga de datos personales de los 83.000 sujetos hasta el momento expuestos fue posible debido a la existencia de tres vulnerabilidades de seguridad: uso de contraseñas sencillas, inexistencia de factor doble de autenticación y ausencia de controles de acceso a las cuentas, lo que implica que las contraseñas eran fáciles de adivinar, que estas eran el único requisito necesario para acceder a las cuentas y que todos los sistemas de la compañía quedaban comprometidos una vez que se conseguía acceso a dichas dos cuentas.
La seriedad de este incidente pone en relieve la importancia de contar con sistemas y medidas de seguridad robustos. En este caso los atacantes pudieron acceder a datos personales de millones de usuarios irrumpiendo en el sistema con una contraseña simple. Una de ellas se encontraba en la lista de más usadas, compuesta por elementos como «123456», «Bienvenido» o «contraseña».
Se descargaron datos personales de 83.000 personas, incluidos registros de salud de 367 de ellas.
Una vez que los atacantes habían logrado entra en las dos cuentas del departamento de IT de Transavia, tuvieron acceso a datos personales de 25 millones de personas, incluidos nombres, fechas de nacimiento, género, direcciones de email, números de teléfono, información sobre vuelos y localizadores de reserva. Se descargó información de 83.000 personas, entre la que se encontraba una lista de 2015 que contenía algunos de los datos anteriormente mencionados y también una base de datos con información de salud de 367 con condiciones especiales como silla de ruedas debido a su estado de salud.
La autoridad de control de Holanda ha informado sobre una tendencia alcista en el robo de datos en los últimos años.
La brecha de seguridad que derivó en esta investigación fue tan solo uno de los múltiples ataques registrados en los últimos años. Entre septiembre y noviembre de 2019 estos hackers consiguieron acceso a las cuentas de Transavia y robaron datos personales. En 2020, la autoridad de control de Holanda señaló un aumento del 30% en el número de ataques comunicados, la mayoría con el objetivo de obtener datos de manera ilegítima. La autoridad de control ha informado de que estos robos de datos pueden evitarse con medidas de seguridad reforzadas.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.
