Lemah Amankan Data Penumpang, Maskapai Ini Didenda Rp6 Miliar
Maskapai Transavkkia
Cyberthreat.id - Badan Perlindungan Data Belanda (DPA) menjatuhkan denda sebesar 400 ribu Euro (setara Rp6,4 miliar) kepada maskapai Transavia lantaran praktik keamanan yang lemah yang menyebabkan pelanggaran data
Transavia adalah maskapai penerbangan Belanda yang mengoperasikan rute-rute berbiaya rendah di seluruh Eropa.
Denda tersebut berkaitan dengan pelanggaran keamanan yang diungkapkan Transavia kepada publik pada Februari 2020. Saat itu, Transavia mengatakan kemungkinan 80.000 data penumpangnya pada periode 21 hingga 31 Januari 2015 kemungkinan telah dicuri peretas.
Pelanggaran bisa berdampak pada 25 juta penumpang
Namun dalam siaran pers pada 12 November 2021, seperti dilaporkan The Record, DPA mengatakan bahwa setelah penyelidikan atas insiden tersebut, agensi memutuskan bahwa maskapai itu bersalah.
Pejabat Belanda mengatakan bahwa Transavia menggunakan praktik keamanan yang lemah, seperti kata sandi yang mudah ditebak dan tidak ada otentikasi dua faktor (2FA), yang memungkinkan peretas mendapatkan kendali atas akun dua karyawan staf TI-nya.
Dari akun ini, peretas mencuri file dengan detail pribadi 83.000 penumpang yang bepergian dengan maskapai antara 21 Januari dan 31 Januari 2015.
Data yang dicuri termasuk nama depan penumpang, nama belakang, tanggal lahir, detail penerbangan, nomor pemesanan, dan layanan tambahan yang dibeli penumpang, seperti bagasi tambahan atau biaya bantuan medis.
DPA menyebutkan, untuk 367 penumpang, biaya tambahan ini terungkap jika penumpang mengalami gangguan fisik, seperti perlu naik kursi roda atau jika penumpang membutuhkan bantuan karena buta atau tuli.
Tetapi meskipun data aktual yang dicuri oleh peretas berukuran kecil, DPA mengatakan bahwa akun karyawan Transavia yang sama yang dibajak oleh peretas juga memiliki akses ke sistem yang menampung lebih dari 25 juta pelanggan maskapai penerbangan.
“Tidak ada indikasi bahwa peretas juga melihat atau menyalin data ini, tetapi kemungkinan tetap ada karena keamanan yang buruk,” kata DPA dalam siaran pers yang mengumumkan denda.
Transavia menggunakan kata sandi sederhana, tanpa 2FA
“Sangat serius bahwa seorang peretas dapat mengakses data pribadi jutaan orang dengan memasuki sistem dengan kata sandi yang sangat sederhana,” kata anggota dewan DPA Katja Mur.
"Benar-benar kata sandi yang telah berada di urutan teratas daftar kata sandi yang paling banyak digunakan selama bertahun-tahun, seperti '123456', 'Welcome', dan 'password," tambahnya.
“Dan tidak hanya itu: hambatan penting lainnya (seperti otentikasi dua faktor/2FA) untuk mempersulit peretas juga tidak ada,” kata Mur.
Seorang juru bicara Transavia tidak membalas permintaan komentar.
Awal tahun ini, DPA Belanda juga mendenda situs pemesanan hotel Booking.com €475.000 ($560.000) karena telat 22 hari melaporkan insiden keamanan pada 2018. Itu melanggar peraturan GDPR UE yang menyatakan bahwa semua pelanggaran harus diungkapkan dalam waktu 72 jam.
Pada hari Rabu, stasiun TV Belanda NCR melaporkan bahwa Booking.com juga diretas oleh kontraktor intelijen AS pada tahun 2016, yang mencuri detail reservasi untuk hotel di Timur Tengah.[]
