Trods KLMs hurtige reaktion er spørgsmålet fortsat, om lækagen er blevet udnyttet før.
KLM- og Air France-kunder burde være chokerede, fordi undersøgelser viser, at deres private data, herunder telefonnumre, e-mailadresser og nogle gange pasoplysninger, kan have været tilgængelige for uautoriserede personer. Dette problem kom frem gennem forskning foretaget af NOS i samarbejde med sikkerhedsforsker Benjamin Broersma.
Lækagen blev opdaget i de flyinformationshyperlinks, der blev sendt til kunder. Disse links, der kun består af seks karakterer, var ikke unikke nok, hvilket tillod ondsindede aktører at få adgang til følsom information med automatiserede scripts. Forskerne fandt mere end 900 fungerende links, hvoraf mange afslørede kundernes private data.
Denne dataeksponering udgjorde en alvorlig risiko. Kriminelle kan potentielt bruge disse oplysninger til at oprette falske rejsedokumenter eller udføre målrettede phishing-angreb. Derudover var der mulighed for at redigere eller slette pas- og visumoplysninger. Selvom NOS ikke har testet dette, og KLM ikke har udtalt sig om dets gennemførlighed, er potentialet for misbrug fortsat bekymrende.
opløst
KLM reagerede hurtigt på NOS-rapporten og løste problemet inden for få timer. Kunder skal nu først logge ind på My Travel-miljøet på hjemmesiden, før de kan få adgang til flyoplysningerne. Dette har reduceret sikkerhedsrisikoen markant. Selvom KLM angiver, at deres systemer slog alarm på grund af den store mængde mistænkelig aktivitet under efterforskningen, er spørgsmålet fortsat åbent, om lækagen er blevet udnyttet før.
Databruddet er identificeret af NOS og sikkerhedsforsker Benjamin Broersma.
Privatlivseksperter og sikkerhedsspecialister påpeger de mulige risici og behovet for, at virksomheder er mere gennemsigtige omkring sådanne hændelser. KLM-databruddet, som også ramte søsterflyselskabet Air France, var et væsentligt sikkerhedsproblem, hvor kundernes personlige data var tilgængelige for uautoriserede parter. Kernen af problemet lå i den måde, KLM leverede flyoplysninger til kunder på via SMS ved hjælp af hyperlinks med kun seks tegn. Denne begrænsede længde gjorde linkene forudsigelige og derfor sårbare over for automatiserede skrabeangreb.
Benjamin Broersma, der var involveret i opdagelsen, bemærkede: "Der var faktisk to ting, der gik galt: koderne var for korte, og der var for mange arbejdskoder." Dette indikerer en grundlæggende svaghed i sikkerheden af linkstrukturen, der bruges af KLM. Efter NOS-rapporten reagerede KLM hurtigt og løste problemet inden for få timer. I en skriftlig erklæring sagde virksomheden: "Vores IT-afdeling tog straks de nødvendige skridt for at løse dette." Kunder skal nu logge ind på My Travel-miljøet på KLM- eller Air France-webstedet for at se deres flyoplysninger, hvilket har øget sikkerheden markant.
Sikkerhedsekspert Bert Hubert kommenterede situationen: "Seks karakterer er bare ikke nok, de kunne have gjort det til otte eller ni." Han understregede, hvordan en lille forskel i længden af en kode kan gøre en stor forskel i sikkerheden. Trods KLMs hurtige reaktion er spørgsmålet fortsat, om lækagen er blevet udnyttet før. Jaap-Henk Hoepman, lektor i computersikkerhed ved Radboud Universitet, pegede på muligheden for, at ondsindede parter kunne bruge mindre iøjnefaldende metoder for at undgå opdagelse, såsom regelmæssigt at skifte IP-adresse.
