Gegevens miljoenen Qantas-klanten gepubliceerd maanden na hack

maandag, 13 oktober 2025 (11:26) - Techzine

In dit artikel:

Qantas bevestigt dat persoonlijke gegevens van 5,7 miljoen klanten online zijn verschenen na een grote cyberaanval in juli. De luchtvaartmaatschappij zegt dat het gaat om namen, e‑mailadressen, telefoonnummers, geboortedata en in sommige gevallen ook adressen, geslacht en maaltijdvoorkeuren. Betrouwbare financiële gegevens zoals creditcardgegevens en paspoortnummers zouden niet zijn buitgemaakt. Van de getroffen groep betreft het bij ruim 1 miljoen klanten gevoelige contact‑ en geboortegegevens; bij ongeveer 4 miljoen klanten zijn alleen naam en e‑mail buitgemaakt.

De aanval maakte deel uit van een bredere reeks hacks die tientallen internationale bedrijven trof en richtte zich op een extern platform dat gebruikmaakt van Salesforce. Qantas werkt samen met externe beveiligingsexperts om vast te stellen welke informatie precies is gelekt. Australische media noemen de hackercollectie Scattered Lapsus$ Hunters als mogelijke dader, die data zou hebben gepubliceerd nadat een losgelddeadline verstreek; Qantas heeft die claim niet bevestigd. Salesforce erkent pogingen tot afpersing en Google meldde dat een van zijn Salesforce‑servers doelwit was van een aanval.

Qantas verkreeg een gerechtelijk verbod van het Hooggerechtshof van New South Wales om verdere verspreiding van de data te verhinderen, maar beveiligingsonderzoekers zoals Troy Hunt waarschuwen dat zo’n bevel weinig effect heeft op buitenlands opererende criminelen. De FBI heeft recent gewaarschuwd voor vergelijkbare methoden: aanvallers misleiden vaak klantenservice‑medewerkers door zich voor te doen als IT‑personeel, waardoor social engineering belangrijker blijkt dan ingewikkelde technische exploits.

De Qantas‑hack is een nieuwe episode in een reeks grote datalekken in Australië — na onder meer de incidenten bij Optus, Medibank en DP World — en versterkt zorgen over de bescherming van persoonsgegevens. Klanten wordt geadviseerd alert te zijn op phishingpogingen en hun accounts en communicatiekanalen extra in de gaten te houden.