Trotz der schnellen Reaktion von KLM bleibt die Frage, ob das Leck schon einmal ausgenutzt wurde.
Kunden von KLM und Air France sollten schockiert sein, denn Untersuchungen zeigen, dass ihre privaten Daten, darunter Telefonnummern, E-Mail-Adressen und manchmal auch Passdaten, möglicherweise für Unbefugte zugänglich waren. Dieses Problem wurde durch Untersuchungen des NOS in Zusammenarbeit mit dem Sicherheitsforscher Benjamin Broersma ans Licht gebracht.
Das Leck wurde in den an Kunden gesendeten Fluginformations-Hyperlinks entdeckt. Diese nur aus sechs Zeichen bestehenden Links waren nicht eindeutig genug, sodass böswillige Akteure mit automatisierten Skripten erfolgreich auf vertrauliche Informationen zugreifen konnten. Die Forscher fanden mehr als 900 funktionierende Links, von denen viele private Daten von Kunden preisgaben.
Diese Offenlegung der Daten stellte ein ernstes Risiko dar. Kriminelle könnten diese Informationen möglicherweise nutzen, um gefälschte Reisedokumente zu erstellen oder gezielte Phishing-Angriffe durchzuführen. Darüber hinaus bestand die Möglichkeit, Pass- und Visainformationen zu bearbeiten oder zu löschen. Obwohl NOS dies nicht getestet hat und KLM keine Aussagen zur Machbarkeit gemacht hat, bleibt das Missbrauchspotenzial besorgniserregend.
aufgelöst
KLM reagierte schnell auf den NOS-Bericht und löste das Problem innerhalb weniger Stunden. Kunden müssen sich nun zunächst in der My Travel-Umgebung der Website anmelden, bevor sie auf die Fluginformationen zugreifen können. Dadurch wurde das Sicherheitsrisiko deutlich reduziert. Obwohl KLM angibt, dass ihre Systeme aufgrund der zahlreichen verdächtigen Aktivitäten während der Untersuchung Alarm ausgelöst haben, bleibt die Frage offen, ob das Leck bereits zuvor ausgenutzt wurde.
Die Datenschutzverletzung wurde von NOS und dem Sicherheitsforscher Benjamin Broersma identifiziert.
Datenschutzexperten und Sicherheitsspezialisten weisen auf die möglichen Risiken und die Notwendigkeit hin, dass Unternehmen bei solchen Vorfällen transparenter vorgehen müssen. Der Datenverstoß bei KLM, von dem auch die Schwesterfluggesellschaft Air France betroffen war, stellte ein erhebliches Sicherheitsrisiko dar, da die persönlichen Daten der Kunden für Unbefugte zugänglich waren. Der Kern des Problems lag in der Art und Weise, wie KLM seinen Kunden Fluginformationen per SMS übermittelte und dabei Hyperlinks mit nur sechs Zeichen verwendete. Diese begrenzte Länge machte die Links vorhersehbar und daher anfällig für automatisierte Scraping-Angriffe.
Benjamin Broersma, der an der Entdeckung beteiligt war, bemerkte: „Eigentlich liefen zwei Dinge schief: Die Codes waren zu kurz und es gab zu viele funktionierende Codes.“ Dies weist auf eine grundlegende Sicherheitslücke in der von KLM verwendeten Linkstruktur hin. Nach der NOS-Meldung reagierte KLM schnell und löste das Problem innerhalb weniger Stunden. In einer schriftlichen Stellungnahme erklärte das Unternehmen: „Unsere IT-Abteilung hat sofort die notwendigen Schritte unternommen, um das Problem zu lösen.“ Kunden müssen sich jetzt in der My Travel-Umgebung der KLM- oder Air France-Website anmelden, um ihre Fluginformationen anzuzeigen, was die Sicherheit deutlich erhöht hat.
Sicherheitsexperte Bert Hubert kommentierte die Situation: „Sechs Zeichen sind einfach nicht genug, es hätten auch acht oder neun werden können.“ Er betonte, wie ein kleiner Unterschied in der Länge eines Codes einen großen Unterschied in der Sicherheit bewirken kann. Trotz der schnellen Reaktion von KLM bleibt die Frage, ob das Leck schon einmal ausgenutzt wurde. Jaap-Henk Hoepman, Dozent für Computersicherheit an der Radboud-Universität, wies auf die Möglichkeit hin, dass böswillige Parteien weniger auffällige Methoden anwenden könnten, um einer Entdeckung zu entgehen, beispielsweise den regelmäßigen Wechsel der IP-Adressen.
