Beveiligingnieuws Logo

Onze partners

VEB

IDIS

Gold-IP

Genetec

Service Centrale Nederland

Alarm Meldnet

Paxton

Uniview

Bydemes

Ajax Systems

Paraat

Milestone

2N

CDVI

Brivo

PG Security Systems

DZ Technologies

Eizo

CSL

Dero Security Products

Multiwacht

Aritech

Trigion

CardAccess

SmartCell

Bosch Security Systems

NIBHV

EAL

Crown Security Services

NetworxConnect

ASIS

i-Pro

Optex

SMC Alarmcentrale

ASSA ABLOY

VideoGuard

VBN

VAIBS

Seris

Network Optix

Explicate

OSEC

Lobeco

VVNL

Oribi ID Solutions

Add Secure

20face

Alphatronics

Masset Solutions

Traka ASSA ABLOY

BHVcertificaat.online

SOBA

Hikvision

Unii

G4S

ADI

HD Security

Nenova

Centurion

Connect Security

Securitas

Advancis

Seagate

HID

Avigilon Alta

Secusoft

SmartSD

Hanwha Vision Europe

Kiwa

Sequrix

ARAS

Regio Control Veldt

Top Security

Eagle Eye Networks

Akuvox

Datalek KLM gaf gevoelige privégegevens reizigers prijs

18 december 2023
Redactie
09:55

Uit onderzoek van de NOS blijkt dat privégegevens van KLM-klanten, waaronder telefoonnummers, e-mailadressen en in sommige gevallen zelfs paspoortgegevens, zonder autorisatie konden worden verkregen. Ook klanten van zustermaatschappij Air France waren getroffen door dit datalek.

Een geautomatiseerd script maakte het mogelijk om deze gegevens makkelijk te verzamelen, een praktijk die bekendstaat als ‘scrapen’. In slechts enkele uren vonden de NOS en beveiligingsonderzoeker Benjamin Broersma meer dan 900 werkende links. Deze links ontsloten niet alleen vluchtinformatie maar vaak ook privégegevens.
Deze gevoelige informatie zou door cybercriminelen gebruikt kunnen worden voor frauduleuze activiteiten, zoals het vervalsen van reisdocumenten als paspoortgegevens aanwezig waren. Zelfs een e-mailadres of telefoonnummer kon misbruikt worden, bijvoorbeeld voor gerichte phishingaanvallen op KLM-klanten.
Bovendien bestond de mogelijkheid om paspoort- en visuminformatie te wijzigen of te verwijderen, hoewel de NOS dit niet heeft getest. KLM heeft hierover geen duidelijkheid verschaft.

Tekortkoming in de beveiliging
Het datalek was te wijten aan de hyperlinks met vluchtinformatie die KLM-klanten via sms ontvingen. Deze korte links van slechts zes tekens bleken niet uniek genoeg te zijn. Voor elke 100 tot 200 ingevoerde adressen was er één werkende link, vanwege deze tekortkoming in de beveiliging.
KLM heeft na melding van de NOS binnen enkele uren het probleem opgelost door vereiste inlogprocedures toe te passen. Het bedrijf beweert dat dit de situatie weer veilig heeft gemaakt.
Hoewel de omvang van getroffen klanten niet door KLM wordt prijsgegeven, impliceert het hoge aantal werkende links dat veel klanten kwetsbaar waren. KLM weigert commentaar te geven op deze schatting en benadrukt hun toewijding aan privacy zonder verdere details te verstrekken.

Aanzienlijke impact
Beveiligingsexpert Bert Hubert bekritiseert het bedrijf vanwege hun zwakke beveiligingsbeleid en stelt dat een complexere linkcode een aanzienlijke impact zou hebben gehad op de veiligheid.
Hoewel KLM aangeeft dat het systeem verdachte activiteiten detecteerde, blijft het onbekend of het lek daadwerkelijk is misbruikt. Experts waarschuwen voor mogelijke niet-gedetecteerde inbreuken, aangezien KLM pas na vijf uur de verdachte IP-adressen heeft geblokkeerd.
De NOS en Benjamin Broersma hebben KLM op de hoogte gebracht nadat ze automatisch links naar de KLM-website hebben gegenereerd om een mogelijke beveiligingsfout te onderzoeken. KLM weigerde gedetailleerde informatie te verstrekken over het aantal getroffen klanten, waardoor de NOS zelf de omvang van het probleem heeft geprobeerd in te schatten.

Deel dit artikel via:

Schijn-zzp'ers

Premium partners

SequriX

Aritech

Seagate

Videoguard

Suricat

Wordt een partner