Datalek KLM gaf gevoelige privégegevens reizigers prijs
Uit onderzoek van de NOS blijkt dat privégegevens van KLM-klanten, waaronder telefoonnummers, e-mailadressen en in sommige gevallen zelfs paspoortgegevens, zonder autorisatie konden worden verkregen. Ook klanten van zustermaatschappij Air France waren getroffen door dit datalek.
Een geautomatiseerd script maakte het mogelijk om deze gegevens makkelijk te verzamelen, een praktijk die bekendstaat als ‘scrapen’. In slechts enkele uren vonden de NOS en beveiligingsonderzoeker Benjamin Broersma meer dan 900 werkende links. Deze links ontsloten niet alleen vluchtinformatie maar vaak ook privégegevens.
Deze gevoelige informatie zou door cybercriminelen gebruikt kunnen worden voor frauduleuze activiteiten, zoals het vervalsen van reisdocumenten als paspoortgegevens aanwezig waren. Zelfs een e-mailadres of telefoonnummer kon misbruikt worden, bijvoorbeeld voor gerichte phishingaanvallen op KLM-klanten.
Bovendien bestond de mogelijkheid om paspoort- en visuminformatie te wijzigen of te verwijderen, hoewel de NOS dit niet heeft getest. KLM heeft hierover geen duidelijkheid verschaft.
Tekortkoming in de beveiliging
Het datalek was te wijten aan de hyperlinks met vluchtinformatie die KLM-klanten via sms ontvingen. Deze korte links van slechts zes tekens bleken niet uniek genoeg te zijn. Voor elke 100 tot 200 ingevoerde adressen was er één werkende link, vanwege deze tekortkoming in de beveiliging.
KLM heeft na melding van de NOS binnen enkele uren het probleem opgelost door vereiste inlogprocedures toe te passen. Het bedrijf beweert dat dit de situatie weer veilig heeft gemaakt.
Hoewel de omvang van getroffen klanten niet door KLM wordt prijsgegeven, impliceert het hoge aantal werkende links dat veel klanten kwetsbaar waren. KLM weigert commentaar te geven op deze schatting en benadrukt hun toewijding aan privacy zonder verdere details te verstrekken.
Aanzienlijke impact
Beveiligingsexpert Bert Hubert bekritiseert het bedrijf vanwege hun zwakke beveiligingsbeleid en stelt dat een complexere linkcode een aanzienlijke impact zou hebben gehad op de veiligheid.
Hoewel KLM aangeeft dat het systeem verdachte activiteiten detecteerde, blijft het onbekend of het lek daadwerkelijk is misbruikt. Experts waarschuwen voor mogelijke niet-gedetecteerde inbreuken, aangezien KLM pas na vijf uur de verdachte IP-adressen heeft geblokkeerd.
De NOS en Benjamin Broersma hebben KLM op de hoogte gebracht nadat ze automatisch links naar de KLM-website hebben gegenereerd om een mogelijke beveiligingsfout te onderzoeken. KLM weigerde gedetailleerde informatie te verstrekken over het aantal getroffen klanten, waardoor de NOS zelf de omvang van het probleem heeft geprobeerd in te schatten.