Ondanks de snelle respons van KLM blijft de vraag bestaan of het lek eerder is misbruikt.
KLM- en Air France-klanten moeten geschrokken zijn want onderzoek toont aan dat hun privégegevens, waaronder telefoonnummers, e-mailadressen en soms paspoortgegevens, mogelijk toegankelijk waren voor onbevoegden. Dit probleem kwam aan het licht door onderzoek van de NOS, in samenwerking met beveiligingsonderzoeker Benjamin Broersma.
Het lek werd ontdekt in de hyperlinks voor vluchtinformatie die naar klanten werden verstuurd. Deze links, bestaande uit slechts zes tekens, waren niet uniek genoeg, waardoor kwaadwillende personen met geautomatiseerde scripts succesvol toegang konden krijgen tot gevoelige informatie. De onderzoekers vonden meer dan 900 werkende links, waarbij in veel gevallen privégegevens van klanten zichtbaar waren.
Deze blootstelling van gegevens vormde een ernstig risico. Criminelen konden deze informatie potentieel gebruiken voor het aanmaken van valse reisdocumenten of voor gerichte phishing-aanvallen. Daarnaast was er de mogelijkheid om paspoort- en visuminformatie te bewerken of te verwijderen. Hoewel de NOS dit niet heeft getest, en KLM geen uitspraken doet over de haalbaarheid hiervan, blijft de potentie voor misbruik zorgwekkend.
opgelost
KLM reageerde snel op de melding van de NOS en heeft het probleem binnen enkele uren opgelost. Nu moeten klanten eerst inloggen in de Mijn Reis-omgeving van de website voordat ze toegang krijgen tot de vluchtinformatie. Dit heeft het veiligheidsrisico aanzienlijk verminderd. Ondanks dat KLM aangeeft dat hun systemen alarm sloegen door de grote hoeveelheid verdachte activiteiten tijdens het onderzoek, blijft de vraag open of het lek eerder is misbruikt.
Het datalek werd geïdentificeerd door de NOS en beveiligingsonderzoeker Benjamin Broersma.
Privacy-experts en beveiligingsspecialisten wijzen op de mogelijke risico’s en de noodzaak voor bedrijven om transparanter te zijn over dergelijke incidenten. Het datalek bij KLM, dat ook betrekking had op zustermaatschappij Air France, was een aanzienlijk beveiligingsprobleem waarbij persoonlijke gegevens van klanten toegankelijk waren voor onbevoegden. De kern van het probleem lag in de manier waarop KLM vluchtinformatie aan klanten verstrekte via sms, middels hyperlinks met slechts zes tekens. Deze beperkte lengte maakte de links voorspelbaar en daardoor kwetsbaar voor geautomatiseerde scraping-aanvallen.
Benjamin Broersma, die betrokken was bij de ontdekking, merkte op: “Er gingen eigenlijk twee dingen mis: de codes waren te kort, en er waren te veel werkende codes.” Dit duidt op een fundamentele zwakte in de beveiliging van de linkstructuur die door KLM werd gebruikt. Na de melding van de NOS reageerde KLM snel en loste het probleem binnen enkele uren op. In een schriftelijke verklaring gaf het bedrijf aan: “Onze IT-afdeling heeft onmiddellijk de nodige maatregelen genomen om dit te verhelpen.” Klanten moeten nu inloggen in de Mijn Reis-omgeving van de KLM- of Air France-website om hun vluchtinformatie te kunnen bekijken, wat de veiligheid aanzienlijk heeft verhoogd.
Beveiligingsexpert Bert Hubert gaf commentaar op de situatie: “Zes tekens is gewoon echt niet genoeg, ze hadden er ook acht of negen van kunnen maken.” Hij benadrukte hoe een klein verschil in de lengte van een code een groot verschil kan maken in de veiligheid. Ondanks de snelle respons van KLM blijft de vraag bestaan of het lek eerder is misbruikt. Jaap-Henk Hoepman, hoofddocent computerbeveiliging aan de Radboud Universiteit, wees op de mogelijkheid dat kwaadwillenden minder opvallende methoden zouden kunnen gebruiken om detectie te vermijden, zoals het regelmatig wisselen van IP-adressen.
