Een datalek dat negen jaar onopgemerkt bleef – Malaysia Airlines

Bij het melden van een datalek moet worden opgegeven hoe lang het incident heeft geduurd, dus Malaysia Airlines heeft gisteren ook gedaan. De luchtvaartmaatschappij heeft toegeven dat van 2010-2019 een datalek heeft bestaan. Is dat een eerlijk en correct antwoord?

Ook Nederlanders getroffen?

In Nederland is op dit moment nog de nodige ophef over het datalek van Ticketcounter. Daar zijn door een bovengemiddelde  fout de data van 1,5 miljoen personen gelekt en die data zou een periode van circa twee jaar beslaan. Dat is naar Nederlandse begrippen zowel veel als ook lang. Maar het is niets in vergelijking van de melding van Malaysia Airlines. Die luchtvaartmaatschappij heeft dinsdag lokale tijd bekend gemaakt dat van alle frequent flyer klanten de data is gelekt. Hoeveel klanten dat precies zijn heeft het bedrijf niet bekend gemaakt. Wel dat het gaat om het Enrich programma. Daarvan hebben ook reizigers van andere maatschappijen gebruik kunnen maken. KLM is een van de airlines die een link met Enrich heeft. Het kan dus zijn dat er Nederlandse overstappers een melding gaan krijgen van een datalek waarbij hun data zat.

Duur van het datalek

Wat men al gedupeerde natuurlijk wil weten is hoe lang het lek heeft bestaan. Dan kan namelijk een inschatting worden gemaakt van het risico en de urgentie om bijvoorbeeld e-mail adressen aan te passen om gerichte phishing tegen te gaan. Iedereen, dus niet alleen de gedupeerden, zullen verbaasd zijn bij de periode die Malaysia Airlines. Gedurende negen (9) jaar is de IT van de externe dienstverlener die het Enrich programma verzorgde lek geweest.

Welke logging?

De periode die men noemt is extreem lang. Het lijkt daarom ook weinig aannemelijk dat dit klopt. De reden waarom deze enorme tijdspanne wordt genoemd is echter simpel en verontrustend tegelijk. Zowel Malaysia Airlines als de externe partij kunnen niet bewijzen dat het datalek een kortere periode heeft bestaan. Met andere woorden er is geen audit of logging waaruit het tegendeel blijkt. Dat betekent op zijn beurt weer dat de kwaliteit van de logging nooit ter discussie is gesteld en de audits steken hebben laten vallen. Elders is zelfs gesuggereerd dat tijdens de audits nooit naar loggings hebben gevraagd.

Mede daarom roept de deze quote nog wel de nodige vragen op.

“Malaysia Airlines has no evidence that any personal data has been misused and the incident did not disclose any account passwords. We are nevertheless encouraging Enrich members to change their account passwords as a precautionary measure.”