A pesar de la rápida respuesta de KLM, la pregunta sigue siendo si la filtración ha sido explotada antes.
Los clientes de KLM y Air France deberían sorprenderse porque las investigaciones muestran que sus datos privados, incluidos números de teléfono, direcciones de correo electrónico y, a veces, datos de pasaporte, pueden haber sido accesibles a personas no autorizadas. Este problema salió a la luz gracias a una investigación del NOS, en colaboración con el investigador de seguridad Benjamin Broersma.
La filtración se descubrió en los hipervínculos de información de vuelos enviados a los clientes. Estos enlaces, que constan de sólo seis caracteres, no eran lo suficientemente únicos, lo que permitía a actores maliciosos acceder con éxito a información confidencial con scripts automatizados. Los investigadores encontraron más de 900 enlaces en funcionamiento, muchos de los cuales exponían datos privados de los clientes.
Esta exposición de datos planteó un riesgo grave. Los delincuentes podrían utilizar esta información para crear documentos de viaje falsos o realizar ataques de phishing dirigidos. Además, existía la opción de editar o eliminar la información del pasaporte y la visa. Aunque NOS no lo ha probado y KLM no ha hecho ninguna declaración sobre su viabilidad, la posibilidad de abuso sigue siendo preocupante.
resuelto
KLM respondió rápidamente al informe de NOS y resolvió el problema en unas pocas horas. Los clientes ahora deben iniciar sesión primero en el entorno My Travel del sitio web antes de poder acceder a la información del vuelo. Esto ha reducido significativamente el riesgo de seguridad. Aunque KLM indica que sus sistemas dieron la alarma debido a la gran cantidad de actividad sospechosa durante la investigación, la pregunta sigue abierta si la filtración ha sido explotada antes.
La violación de datos fue identificada por NOS y el investigador de seguridad Benjamin Broersma.
Expertos en privacidad y especialistas en seguridad señalan los posibles riesgos y la necesidad de que las empresas sean más transparentes ante este tipo de incidentes. La violación de datos de KLM, que también afectó a la aerolínea hermana Air France, fue un problema de seguridad importante en el que partes no autorizadas podían acceder a los datos personales de los clientes. El núcleo del problema radicaba en la forma en que KLM proporcionaba información de vuelos a sus clientes a través de SMS, utilizando hipervínculos de sólo seis caracteres. Esta longitud limitada hizo que los enlaces fueran predecibles y, por lo tanto, vulnerables a ataques de scraping automatizados.
Benjamin Broersma, que participó en el descubrimiento, señaló: "En realidad, había dos cosas que iban mal: los códigos eran demasiado cortos y había demasiados códigos que funcionaban". Esto indica una debilidad fundamental en la seguridad de la estructura de enlaces utilizada por KLM. Tras el informe de NOS, KLM respondió rápidamente y resolvió el problema en unas pocas horas. En una declaración escrita, la empresa dijo: "Nuestro departamento de TI tomó inmediatamente las medidas necesarias para resolver esto". Los clientes ahora tienen que iniciar sesión en el entorno My Travel del sitio web de KLM o Air France para ver la información de su vuelo, lo que ha aumentado significativamente la seguridad.
El experto en seguridad Bert Hubert comentó la situación: "Seis caracteres no son suficientes, podrían haber sido ocho o nueve". Hizo hincapié en cómo una pequeña diferencia en la longitud de un código puede marcar una gran diferencia en la seguridad. A pesar de la rápida respuesta de KLM, la pregunta sigue siendo si la filtración ha sido explotada antes. Jaap-Henk Hoepman, profesor titular de seguridad informática en la Universidad de Radboud, señaló la posibilidad de que partes malintencionadas puedan utilizar métodos menos visibles para evitar la detección, como cambiar periódicamente de dirección IP.
