Honderden mailadressen reisbranche op Gotcha.pw

Honderden e-mailadressen en mogelijk wachtwoorden van talloze reisbedrijven zijn te vinden op Gotcha.pw, een zoekmachine waarop je kan zien of je wachtwoord(en) zijn gehackt bij (grote) datalekken. TravelPro vond honderden mailadressen en de beginletters van wachtwoorden van medewerkers bij bedrijven uit de reisbranche, waaronder die van touroperators, reisbureaus, ZRA’s, luchtvaart- en cruisemaatschappijen, pretparken, enzovoorts op Gotcha, dat gisteravond weer online ging. Veel bedrijven die door TravelPro werden gevraagd om een reactie op Gotcha en de gevens die daarop zijn te vinden, waren niet of slecht op de hoogte.

Eind maart kwam het Algemeen Dagblad met het nieuws dat 3,3 miljoen e-mailadressen en wachtwoorden van Nederlanders op straat liggen. De Nederlandse programmeur, die zich D0gberry noemt en iedereen er bewust van wil maken dat iedereen op het ‘dark web’ deze gegevens kan kopen en misbruiken, haalde de site in eerste instantie offline uit vrees voor juridische gevolgen. Sinds donderdagavond 5 april jl. staat de website weer online. De maker van Gotcha verzamelde de gegevens uit allerlei grote hacks die in het verleden hebben plaatsgevonden, waaronder bij LinkedIn, Dropbox, Yahoo en vele andere hacks. Wie de gegevens op het dark web weet te verkrijgen, krijgt inzicht in volledige mailadressen en wachtwoorden en wanneer deze niet zijn gewijzigd toegang tot de inhoud van mailaccounts. Gotcha laat echter alleen de eerste twee cijfers/letters zien van wachtwoorden. Experts raden aan om wachtwoorden te wijzigen wanneer deze op Gotcha zijn te zien.

Via Gotcha kan worden opgemaakt dat veel medewerkers van Nederlandse reisbedrijven (in het verleden) slachtoffer zijn geweest van hacks. Zo zijn er accountgegevens te zien van onder andere medewerkers van vele touroperators, GDS-bedrijven en menig Nederlandse ZRA. Onduidelijk is of het in alle gevallen gaat om de accountgegevens van werkmailadressen of dat deze mailadressen/gegevens enkel zijn gebruikt voor andere toepassingen zoals Dropbox en LinkedIn. Lees hierover de reactie van Tim Van den Bergh (CCO Sunweb Group) tegenover TravelPro.

Ook Herbert Bos, hoogleraar Systems en Network Security aan de VU in Amsterdam, liet tegenover het Algemeen Dagblad weten dat het hacks van social media accounts van medewerkers van bedrijven ook een gevaar met zich meebrengt: “Desondanks is het nog steeds verstandig te controleren om welke mailadressen/wachtwoorden het gaat. het blijft een gevaar, omdat mensen heel vaak wachtwoorden hergebruiken. Mensen staan op zoveel websites geregistreerd, dat ze vaak geen idee meer hebben hoeveel, vaak met hetzelfde wachtwoord.”

Op de lijst staan ook gegevens van ANVR-medewerkers. Franks Oostdam (directeur/voorzitter) laat aan TravelPro weten dat de brancheorganisatie zelf ook een keer is gehackt. “Dat was voor ons destijds aanleiding om daar kritisch naar te kijken en dat moet natuurlijk regelmatig gebeuren.” Oostdam laat weten dat men op het kantoor in Baarn ook druk in de weer is met de AVG. “Wij maken hetzelfde door als alle reisbedrijven in Nederland. Je realiseert je niet van tevoren hoe diepgaand dat is. Intern worden alle procedures tegen het licht gehouden en aangescherpt. Daar hoort ook bij dat je continu je wachtwoord ververst en dat is nu ook met elkaar afgesproken. Dat hoort ook bij de procedures die bedrijven in het kader van de AVG moeten doen. Het is een hoop werk, maar in zekere zin ook nuttig aangezien het je met de neus op de feiten drukt. Nog eens kritisch kijken naar je wachtwoordenbeleid, zeker in het kader van de AVG, is absoluut een must. We zijn er tot nu toe, zowel consumenten en bedrijven, nog redelijk naïef in geweest, maar de meeste bedrijven realiseren zich nu waarschijnlijk wel dat dat onderdeel moet zijn van je totale veiligheidsbeleid.”

Lees hier de column van Benno Friedberg (advocaat Friedberg & Mahn) die hij schreef voor TravelPro over effectief bescherming te bieden aan de grondrechten van klanten van reisbedrijven.

Ook van meerdere reisbureauketens-medewerkers zijn mailadressen en wachtwoorden te vinden. Don Kaspers (CEO D-rt Groep) laat weten dat medewerkers van de D-rt Groep regelmatig hun wachtwoord moeten wijzigen. “Niet alleen het wachtwoord van het e-mailadres, maar ook de wachtwoorden van de diverse systemen waar wij mee werken.” Kaspers laat weten dat de vakanties en gegevens van reizigers die via de D-rt Groep hebben geboekt nooit in gevaar zijn geweest door hacks. “Betaalgegevens van klanten worden ook niet opgeslagen en in de winkelorganisatie is alles tot op het bot beveiligd. We zijn er continu mee bezig, maar het is haast niet te voorkomen dat er eens in de zoveel jaar een bestand online wordt gezet met gegevens. We hebben onze website onlangs nog laten controleren door een bedrijf dat is gespecialiseerd in het vinden van een lek en daarbij is gelukkig niets gevonden. De hacker van vandaag is de security manager van morgen.”

TUI heeft TravelPro in een reactie laten weten: ‘Conform de IT Security policy van TUI worden systemen en gegevens continu gemonitord. Daarnaast is het beveiligingsbeleid van TUI gericht op de bewustwording van alle medewerkers om zorgvuldig met gegevens, waaronder wachtwoorden om te gaan. Het beleid schrijft dan ook voor dat alle wachtwoorden elke 90 dagen veranderd moeten worden of in het geval een medewerker vermoedt dat iemand anders een wachtwoord kent. Hier worden regelmatig interne bewustwordingscampagnes voor ingezet. Naar aanleiding van de publicaties de laatste dagen over gekraakte en gelekte gegevens hebben alle medewerkers bovendien het dringende advies gekregen wachtwoorden aan te passen. Overigens zijn de gegevens die van TUI online staan niet actueel.’

De gegevens van medewerkers van Nederlandse luchthavens zijn eveneens online te vinden. Hans van Kastel (woordvoerder Schiphol) laat desgevraagd aan TravelPro weten: “De lijst is ons bekend en collega’s op de ICT-afdeling zijn aan het onderzoeken hoe actueel de lijst is en hoe waarheidsgetrouw. Medewerkers van Schiphol moeten elke maand hun wachtwoord wijzigen en daar is niet onderuit te komen. Het is afhankelijk wat er uit het onderzoek van onze ICT-afdeling komt of we vervolgstappen moeten nemen. In principe worden alle nieuwe middelen om een hack te voorkomen door Schiphol toegepast.”

Ook staan er veel mailadressen van luchtvaartmaatschappijen en cruisemaatschappijen online. en die van pretparken. Zo staan er meer dan 500 gegevens van Disney online waaronder buzzli********@disneyland.com (Buzz Lightyear van Toy Story), goofy.*********@disneyland.com en mickey*******@disneyland.com. Ook van directeuren van pretparken zijn de gegevens gelekt, zoals die van Europa-Park, Bobbejaanland, Walibi Holland en de Efteling. Zo concludeerde looopings.nl dat het wachtwoord van algemeen directeur Efteling Fons Jurgens begint met ‘ef’…