Privégegevens KLM-klanten eenvoudig toegankelijk via datalek
Gepubliceerd op 18/12/2023 09:00 in Binnenland
Privégegevens van KLM-klanten, waaronder telefoonnummers, e-mailadressen en in sommige gevallen zelfs paspoortgegevens, waren gemakkelijk te verkrijgen voor onbevoegden. Dit is gebleken uit onderzoek van de NOS. Ook klanten van zustermaatschappij Air France waren getroffen door dit datalek.
Het bleek dat de gegevens eenvoudig konden worden gescrapet met behulp van een geautomatiseerd script. Hierdoor konden informatie en privégegevens worden gedownload zonder dat er daadwerkelijk beveiliging omzeild hoefde te worden. In slechts een paar uur vonden de NOS en beveiligingsonderzoeker Benjamin Broersma meer dan 900 werkende links waarachter niet alleen vluchtinformatie, maar ook vaak privégegevens te vinden waren.
Deze informatie zou door internetcriminelen kunnen worden gebruikt om valse reisdocumenten uit te geven, vooral als er inderdaad paspoortgegevens beschikbaar waren. Daarnaast kunnen ook e-mailadressen en telefoonnummers worden misbruikt voor gerichte phishingaanvallen naar KLM-klanten.
Daarnaast was het mogelijk om paspoort- en visuminformatie te bewerken en te verwijderen, maar het is niet bekend of dit daadwerkelijk zou zijn gelukt. KLM weigerde commentaar te geven op dit punt.
Het datalek werd veroorzaakt door een fout in de hyperlink met vluchtinformatie die KLM-klanten via sms ontvingen. Deze links waren extra kort, slechts zes tekens lang, zodat ze gemakkelijk in een sms pasten. Echter, bleken ze niet uniek genoeg te zijn. Een kwaadwillende kon op grote schaal proberen om links te raden, waarbij ongeveer één op de honderd tot tweehonderd pogingen succesvol was.
KLM heeft het probleem binnen enkele uren verholpen nadat ze op de hoogte waren gebracht door de NOS. Het bedrijf liet weten dat hun IT-afdeling direct de nodige maatregelen heeft genomen om het probleem op te lossen. Nu moeten gebruikers eerst inloggen in de Mijn Reis-omgeving van de website van KLM of Air France voordat ze op de link kunnen klikken. Hierdoor is de situatie weer veilig en normaal.
Hoewel KLM niet wilde zeggen hoeveel klanten precies vatbaar waren voor het datalek, suggereert het feit dat ongeveer één op de honderd tot tweehonderd pogingen resulteerde in een geldige link dat de vluchtlinks van vele klanten toegankelijk moeten zijn geweest. Het is echter niet vastgesteld hoe vaak de links daadwerkelijk privégegevens bevatten.
Volgens beveiligingsexpert Bert Hubert heeft KLM op dit gebied gefaald. Hij stelt dat zes tekens simpelweg niet genoeg zijn en dat de links beter acht of negen tekens lang hadden kunnen zijn. Het verschil van slechts twee of drie extra tekens maakt een enorm verschil in de mate van beveiliging, aangezien er bij zes tekens 57 miljard combinaties mogelijk zijn, terwijl dit aantal bij acht tekens oploopt tot meer dan 200 biljoen.
Of het datalek daadwerkelijk is misbruikt, is onbekend. KLM meldde echter wel dat het systeem alarm sloeg door de "grote hoeveelheid verdachte activiteiten" veroorzaakt door het onderzoek van de NOS en Broersma. Het bedrijf beweert dat er sindsdien een team bezig is geweest met het nemen van de nodige veiligheidsmaatregelen en dat verder toegang niet mogelijk was.
Deskundigen wijzen er echter op dat het feit dat de NOS en Broersma werden opgemerkt, niets zegt over de acties van andere kwaadwillenden. Daarnaast duurde het ruim vijf uur voordat KLM de IP-adressen blokkeerde