Sanción de 400.000 euros de la autoridad holandesa de protección de datos por no adoptar suficientes medidas de seguridad en relación con sus contraseñas

La Autoridad holandesa de protección de datos sanciona con 400.000 euros a la compañía aérea Transavia por no tomar medidas de seguridad suficientes y adecuadas para garantizar la confidencialidad de los datos personales de sus clientes, lo que derivó en un acceso no autorizado por parte de ciberdelincuentes el pasado septiembre de 2019.

Los motivos de la resolución son:

-El sistema de contraseñas internas de la compañía no era seguro.

-No había requisitos para que las contraseñas fueran lo suficientemente complejas, con lo que el acceso de los ciberdelincuentes fue sencillo.

-No había establecido un sistema de verificación con doble factor o similar, sino que el acceso tenía lugar con la introducción únicamente de la mencionada clave.

-No había limitaciones internas ni separaciones en los accesos a los datos personales, con lo que una vez los ciberdelincuentes accedieron con la contraseña, tuvieron acceso a muchas categorías de datos personales.

Como resultado de la brecha de seguridad, datos personales de 25 millones de pasajeros de la compañía aérea fueron afectados y, de todos ellos, se tiene evidencia de que los ciberdelincuentes descargaron los datos de cerca de 83.000 clientes. Los datos personales incluyeron nombres y apellidos, fecha de nacimiento, género, direcciones de correo electrónico, teléfono, así como acceso a información sobre los servicios contratados con Transavia. Incluso en algunos casos, la información incluye datos sensibles de ciertos pasajeros que solicitaron prestaciones especiales debido a problemas de salud padecidos.