De Australische luchtvaartmaatschappij Qantas heeft bevestigd dat persoonlijke gegevens van 5,7 miljoen klanten online zijn verschenen na een grote cyberaanval eerder dit jaar.
De gegevenslek maakt deel uit van een bredere hack die tientallen internationale bedrijven trof. Onder de getroffen organisaties bevinden zich ook Disney, Google, IKEA, Toyota, McDonald’s, Air France en KLM. De aanval richtte zich op softwareleverancier Salesforce, waarbij gestolen informatie wordt gebruikt om losgeld te eisen.
Volgens Qantas gaat het om gegevens zoals namen, e-mailadressen, telefoonnummers, geboortedata en in sommige gevallen ook adressen, geslacht en maaltijdvoorkeuren. De luchtvaartmaatschappij benadrukte dat er geen creditcardinformatie, financiële gegevens of paspoortnummers zijn buitgemaakt. Uit eerdere communicatie blijkt dat ruim een miljoen klanten gevoelige informatie hebben verloren, zoals telefoonnummers, geboortedata of adressen, terwijl bij nog eens vier miljoen klanten enkel naam en e-mailadres werden gestolen.
De cyberaanval in juli geldt als een van de grootste in Australië sinds de incidenten bij telecombedrijf Optus en zorgverzekeraar Medibank in 2022, die aanleiding gaven tot strengere wetgeving rond digitale weerbaarheid. Qantas verklaarde dat de criminelen toegang kregen via een extern platform dat gebruikmaakt van Salesforce.
Gerechtelijk bevel moet verspreiding tegengaan
Om verdere verspreiding van de gestolen data te voorkomen, verkreeg Qantas een gerechtelijk bevel van het Hooggerechtshof van New South Wales. Dat besluit verbiedt het bekijken, publiceren of doorgeven van de data door derden. Volgens beveiligingsonderzoeker Troy Hunt heeft zo’n maatregel echter weinig effect, omdat het cybercriminelen niet afschrikt en buiten Australië geen rechtsgeldigheid heeft.
De luchtvaartmaatschappij zegt samen met externe beveiligingsexperts te onderzoeken welke informatie precies is vrijgegeven. Volgens Australische media, waaronder The Guardian Australia, is de hackercollectie Scattered Lapsus$ Hunters verantwoordelijk voor de datadump. De groep zou de gegevens hebben gepubliceerd nadat een gestelde losgelddeadline was verstreken. Qantas weigerde die berichtgeving te bevestigen.
Salesforce liet weten op de hoogte te zijn van recente pogingen tot afpersing door hackers. Google meldde eerder dat een van zijn Salesforce-servers was aangevallen, maar gaf geen details over mogelijke datalekken. Het bedrijf voerde naar eigen zeggen een impactanalyse uit en waarschuwde mogelijk getroffen organisaties.
De FBI waarschuwde recent voor vergelijkbare aanvallen op Salesforce-systemen. Hackers doen zich daarbij vaak voor als IT-medewerkers om klantenservicemedewerkers te misleiden en toegang tot gevoelige informatie te krijgen. Volgens Hunt maken de aanvallers daarbij gebruik van klassieke oplichtingstechnieken in plaats van complexe technische middelen.
De hack bij Qantas is de nieuwste in een reeks digitale incidenten in Australië, die de bezorgdheid over de bescherming van persoonsgegevens verder aanwakkeren. De luchtvaartmaatschappij kwam vorig jaar al in opspraak toen een fout in de mobiele app de namen en reisgegevens van passagiers zichtbaar maakte. Eerder werd ook havenexploitant DP World getroffen, waardoor bijna de helft van de Australische vrachtstroom tijdelijk stilviel.