De accountgegevens die via Gotcha.pw zijn te vinden, waaronder honderden mailadressen van reisbedrijven, zijn naar alle waarschijnlijkheid niet de accountgegevens van reisbedrijven. Dat laten meerdere partijen weten aan TravelPro. Desondanks is men het er over eens dat het van groot belang is om de gepubliceerde mailadressen/wachtwoorden die op Gotcha staan te controleren.

Herbert Bos, hoogleraar Systems en Network Security aan de VU in Amsterdam, liet hierover aan het Algemeen Dagblad weten dat hacks van social media accounts van bedrijfsmedewerk(st)ers ook een gevaar met zich meebrengt: “Desondanks is het nog steeds verstandig te controleren om welke mailadressen/wachtwoorden het gaat. Het blijft een gevaar, omdat mensen heel vaak wachtwoorden hergebruiken. Mensen staan op zoveel websites geregistreerd, dat ze vaak geen idee meer hebben hoeveel, vaak met hetzelfde wachtwoord. Zelfs als je een beetje varieert met de cijfers in je wachtwoord, kunnen kwaadwillenden dat via geautomatiseerde programma’s snel achterhalen. En als mensen je e-mail en een wachtwoord hebben, hebben ze je identiteit.”

Tim Van den Bergh (CCO Sunweb Group) laat aan TravelPro weten dat het bedrijf in een ver verleden een keer met een lek te maken heeft gehad, maar dat dit direct is opgelost en betrof de boekingsbevestiging en vouchers van één reservering. “De mailadressen die op Gotcha staan zijn oude adressen en de eerste letters/cijfers van de wachtwoorden herkennen wij niet als wachtwoorden die gebruikelijk zijn binnen het bedrijf. Ik ga er vanuit dat het om leks gaat van privé-accounts van onder andere LinkedIn waarbij onze (oud-)medewerkers hun werk-mailadres hebben gebruikt.”

Bedrijven die te maken hebben met een hack/lek moeten dit officieel aan de autoriteit persoonsgegevens melden. Van den Bergh benadrukt tegenover TravelPro dat medewerkers van Sundio/Sunweb elke drie maanden hun wachtwoorden moeten wijzigen. “Hier kunnen ze niet onderuit, want het is een automatisme van het mailsysteem dat hierom vraagt. Daarnaast hebben wij een team dat de veiligheid van al onze gegevens continu monitort, maar zeker gezien de vele hacks die er her en der momenteel plaatsvinden is het goed dat er zoveel over wordt geschreven. We moeten het feit dat de veiligheid van gegevens die reisbedrijven beheren ontzettend belangrijk is blijven benadrukken.”

Ook TUI heeft aan TravelPro laten weten dat de gegevens die over het bedrijf online staan niet actueel zijn. ‘Conform de IT Security policy van TUI worden systemen en gegevens continu gemonitord. Daarnaast is het beveiligingsbeleid van TUI gericht op de bewustwording van alle medewerkers om zorgvuldig met gegevens, waaronder wachtwoorden om te gaan. Het beleid schrijft dan ook voor dat alle wachtwoorden elke 90 dagen veranderd moeten worden of in het geval een medewerker vermoedt dat iemand anders een wachtwoord kent. Hier worden regelmatig interne bewustwordingscampagnes voor ingezet. Naar aanleiding van de publicaties de laatste dagen over gekraakte en gelekte gegevens hebben alle medewerkers bovendien het dringende advies gekregen wachtwoorden aan te passen’, aldus TUI.