De Nederlandse luchtvaartmaatschappij KLM is opnieuw geconfronteerd met een cyberincident waarbij persoonlijke gegevens van klanten zijn buitgemaakt.
Ook zusterbedrijf Air France en de Australische maatschappij Qantas zijn slachtoffer geworden van een wereldwijde aanval die gericht lijkt op bedrijven die gebruikmaken van klantenservicesystemen die zijn gekoppeld aan het Amerikaanse softwarebedrijf Salesforce. De betrokken bedrijven spreken van een “gelimiteerde toegang” tot klantdata, maar de impact is internationaal voelbaar.
KLM meldde het incident afgelopen dinsdag aan de Autoriteit Persoonsgegevens. Uit onderzoek blijkt dat niet de interne systemen van de luchtvaartmaatschappij zelf zijn gehackt, maar dat de aanval plaatsvond via een extern klantenservicesysteem dat door een derde partij wordt beheerd. “Onze IT-beveiligingsteams hebben samen met de betrokken externe partij direct actie ondernomen om de ongeautoriseerde toegang te stoppen,” aldus een officiële verklaring van de luchtvaartmaatschappij.
Flying Blue
Volgens de verstrekte informatie zijn onder andere voornamen, achternamen, contactgegevens, Flying Blue-lidmaatschapsnummers en -statussen en onderwerpregels van e-mails aan de klantenservice ingezien. Gevoelige gegevens zoals paspoortnummers, wachtwoorden, creditcardgegevens en het saldo aan frequent flyer miles zouden buiten schot zijn gebleven. Toch adviseert KLM getroffen klanten om alert te zijn op verdachte e-mails, vooral berichten die zogenaamd van de luchtvaartmaatschappij afkomstig lijken te zijn.
De aanval maakt onderdeel uit van een bredere golf aan cyberinbraken gericht op internationale bedrijven die Salesforce gebruiken. Een woordvoerder van Salesforce verklaarde dat het eigen platform niet is gehackt, maar dat kwaadwillenden toegang hebben gekregen via phishingpraktijken gericht op medewerkers van bedrijven die klant zijn bij Salesforce. De criminelen deden zich telefonisch of via chat voor als IT-medewerkers en wisten zo wachtwoorden buit te maken. Met die gegevens kregen ze toegang tot CRM-systemen via een malafide nagebouwde inlogpagina. Daarbij werd ook een schadelijke softwareapplicatie geïnstalleerd, genaamd “My Ticket Portal”, die gevoelige data automatisch doorstuurde.
ShinyHunters
De hackersgroep ShinyHunters wordt verantwoordelijk gehouden voor deze aanvallen. Deze groep is al langer actief in het online afpersen van bedrijven en hun klanten. Hun werkwijze is sluw en geraffineerd: via social engineering weten zij medewerkers te misleiden en op die manier toegang te krijgen tot klantgegevens. Eerder waren ook multinationals als Allianz, LVMH, Adidas en Chanel slachtoffer van vergelijkbare aanvallen.
Qantas, de nationale luchtvaartmaatschappij van Australië, meldde al in juli dat meer dan zes miljoen klantgegevens waren ingezien na een soortgelijke aanval. Het betrof een inbraak op een callcenter, vermoedelijk in Manilla. Daarbij werden volledige namen, e-mailadressen, telefoonnummers, geboortedata en frequent-flyer-nummers buitgemaakt. Ook daar werd benadrukt dat paspoort- en creditcardgegevens buiten de aanval bleven. De Australische autoriteiten, waaronder het Australian Cyber Security Centre, zijn inmiddels betrokken bij het onderzoek.
datalek
De Franse privacywaakhond CNIL en de Autoriteit Persoonsgegevens in Nederland hebben beide bevestiging gekregen van de meldingen. De betrokken luchtvaartmaatschappijen hebben klanten per e-mail op de hoogte gebracht van het datalek en verwijzen naar hun websites voor verdere uitleg. Ze benadrukken dat extra beveiligingsmaatregelen zijn genomen en dat de toegang tot de externe systemen is afgesloten.
KLM roept klanten op om phishingmails te melden en geen persoonlijke gegevens te verstrekken via verdachte links of ongevraagde telefoongesprekken. Ook adviseert het bedrijf om tweestapsverificatie te gebruiken waar mogelijk. Voor Flying Blue-deelnemers is benadrukt dat hun miles veilig zijn, al blijft waakzaamheid geboden.
kwetsbaar
De omvang van deze cyberaanval en de betrokkenheid van meerdere internationale partijen toont opnieuw aan hoe kwetsbaar bedrijven zijn die afhankelijk zijn van externe softwareleveranciers. Hoewel Salesforce stelt dat haar platform veilig is gebleven, leggen de gebeurtenissen de nadruk op de noodzaak van structurele beveiligingsupdates en scherpere waakzaamheid onder medewerkers.
and then