Παρά την ταχεία ανταπόκριση της KLM, το ερώτημα παραμένει εάν η διαρροή έχει αξιοποιηθεί στο παρελθόν.
Οι πελάτες της KLM και της Air France θα πρέπει να σοκαριστούν επειδή η έρευνα δείχνει ότι τα προσωπικά τους δεδομένα, συμπεριλαμβανομένων αριθμών τηλεφώνου, διευθύνσεων email και μερικές φορές στοιχείων διαβατηρίου, μπορεί να ήταν προσβάσιμα σε μη εξουσιοδοτημένα άτομα. Αυτό το πρόβλημα ήρθε στο φως μέσα από έρευνα του NOS, σε συνεργασία με τον ερευνητή ασφαλείας Benjamin Broersma.
Η διαρροή ανακαλύφθηκε στους υπερσυνδέσμους πληροφοριών πτήσης που στάλθηκαν στους πελάτες. Αυτοί οι σύνδεσμοι, που αποτελούνταν μόνο από έξι χαρακτήρες, δεν ήταν αρκετά μοναδικοί, επιτρέποντας στους κακόβουλους ηθοποιούς να έχουν πρόσβαση με επιτυχία σε ευαίσθητες πληροφορίες με αυτοματοποιημένα σενάρια. Οι ερευνητές βρήκαν περισσότερους από 900 συνδέσμους που λειτουργούν, πολλοί από τους οποίους εκθέτουν τα προσωπικά δεδομένα των πελατών.
Αυτή η έκθεση δεδομένων αποτελούσε σοβαρό κίνδυνο. Οι εγκληματίες θα μπορούσαν ενδεχομένως να χρησιμοποιήσουν αυτές τις πληροφορίες για να δημιουργήσουν πλαστά ταξιδιωτικά έγγραφα ή να πραγματοποιήσουν στοχευμένες επιθέσεις phishing. Επιπλέον, υπήρχε η επιλογή επεξεργασίας ή διαγραφής στοιχείων διαβατηρίου και βίζας. Αν και η NOS δεν το έχει δοκιμάσει και η KLM δεν έχει κάνει δηλώσεις σχετικά με τη σκοπιμότητά του, η πιθανότητα κατάχρησης παραμένει ανησυχητική.
διαλύθηκε
Η KLM απάντησε γρήγορα στην αναφορά NOS και έλυσε το πρόβλημα μέσα σε λίγες ώρες. Οι πελάτες τώρα πρέπει πρώτα να συνδεθούν στο περιβάλλον My Travel του ιστότοπου για να έχουν πρόσβαση στις πληροφορίες πτήσης. Αυτό έχει μειώσει σημαντικά τον κίνδυνο ασφάλειας. Παρόλο που η KLM αναφέρει ότι τα συστήματά της σήμανε συναγερμό λόγω του μεγάλου όγκου ύποπτης δραστηριότητας κατά τη διάρκεια της έρευνας, το ερώτημα παραμένει ανοιχτό εάν η διαρροή έχει εκμεταλλευτεί στο παρελθόν.
Η παραβίαση δεδομένων εντοπίστηκε από τον NOS και τον ερευνητή ασφάλειας Benjamin Broersma.
Εμπειρογνώμονες στον τομέα της ιδιωτικής ζωής και ειδικοί σε θέματα ασφάλειας επισημαίνουν τους πιθανούς κινδύνους και την ανάγκη οι εταιρείες να είναι πιο διαφανείς σχετικά με τέτοια περιστατικά. Η παραβίαση δεδομένων KLM, η οποία επηρέασε επίσης την αδελφή αεροπορική εταιρεία Air France, ήταν ένα σημαντικό ζήτημα ασφάλειας στο οποίο τα προσωπικά δεδομένα των πελατών ήταν προσβάσιμα σε μη εξουσιοδοτημένα μέρη. Ο πυρήνας του προβλήματος βρισκόταν στον τρόπο με τον οποίο η KLM παρείχε πληροφορίες πτήσης στους πελάτες μέσω SMS, χρησιμοποιώντας υπερσυνδέσμους με μόνο έξι χαρακτήρες. Αυτό το περιορισμένο μήκος έκανε τους συνδέσμους προβλέψιμους και επομένως ευάλωτους σε αυτοματοποιημένες επιθέσεις απόξεσης.
Ο Benjamin Broersma, ο οποίος συμμετείχε στην ανακάλυψη, σημείωσε: «Στην πραγματικότητα δύο πράγματα πήγαιναν στραβά: οι κωδικοί ήταν πολύ σύντομοι και υπήρχαν πάρα πολλοί κώδικες εργασίας». Αυτό υποδηλώνει μια θεμελιώδη αδυναμία στην ασφάλεια της δομής συνδέσμων που χρησιμοποιείται από την KLM. Μετά την αναφορά NOS, η KLM απάντησε γρήγορα και έλυσε το πρόβλημα μέσα σε λίγες ώρες. Σε γραπτή δήλωση, η εταιρεία είπε: «Το τμήμα πληροφορικής μας έλαβε αμέσως τα απαραίτητα μέτρα για να επιλύσει αυτό το πρόβλημα». Οι πελάτες πρέπει τώρα να συνδεθούν στο περιβάλλον My Travel του ιστότοπου της KLM ή της Air France για να δουν τα στοιχεία της πτήσης τους, γεγονός που έχει αυξήσει σημαντικά την ασφάλεια.
Ο εμπειρογνώμονας ασφαλείας Bert Hubert σχολίασε την κατάσταση: «Έξι χαρακτήρες δεν είναι αρκετοί, θα μπορούσαν να έχουν κάνει οκτώ ή εννέα». Τόνισε πώς μια μικρή διαφορά στο μήκος ενός κωδικού μπορεί να κάνει μεγάλη διαφορά στην ασφάλεια. Παρά την ταχεία ανταπόκριση της KLM, το ερώτημα παραμένει εάν η διαρροή έχει αξιοποιηθεί στο παρελθόν. Ο Jaap-Henk Hoepman, ανώτερος λέκτορας στην ασφάλεια υπολογιστών στο Πανεπιστήμιο Radboud, επεσήμανε την πιθανότητα ότι κακόβουλα μέρη θα μπορούσαν να χρησιμοποιήσουν λιγότερο εμφανείς μεθόδους για να αποφύγουν τον εντοπισμό, όπως η τακτική εναλλαγή διευθύνσεων IP.
