Nettsjinsteande de rappe reaksje fan KLM bliuwt de fraach oft it lek al earder eksploitearre is.
KLM- en Air France-klanten moatte skrokken wêze om't út ûndersyk docht bliken dat har priveegegevens, ynklusyf telefoannûmers, e-mailadressen en soms paspoartgegevens, mooglik tagonklik west hawwe foar net foechhawwende persoanen. Dat probleem kaam oan it ljocht troch ûndersyk fan de NOS, yn gearwurking mei feiligensûndersiker Benjamin Broersma.
It lek waard ûntdutsen yn 'e hyperlinks foar flechtynformaasje dy't nei klanten stjoerd binne. Dizze keppelings, besteande út mar seis karakters, wiene net unyk genôch, wêrtroch't kweade akteurs mei súkses tagong krije ta gefoelige ynformaasje mei automatisearre skripts. De ûndersikers fûnen mear as 900 wurklinks, wêrfan in protte de priveegegevens fan klanten bleatstelle.
Dizze bleatstelling oan gegevens foarme in serieus risiko. Kriminelen kinne dizze ynformaasje mooglik brûke om falske reisdokuminten te meitsjen of doelgerichte phishing-oanfallen út te fieren. Derneist wie d'r de opsje om paspoart- en fisumynformaasje te bewurkjen of te wiskjen. Hoewol't NOS dit net hifke hat, en KLM gjin útspraken dien hat oer de helberens, bliuwt de mooglikheden foar misbrûk soarchlik.
oplost
KLM reagearre fluch op it NOS-rapport en lost it probleem binnen in pear oeren op. Klanten moatte no earst oanmelde by de My Travel-omjouwing fan 'e webside foardat se tagong krije ta de flechtynformaasje. Dit hat it feiligensrisiko signifikant fermindere. Hoewol't KLM oanjout dat har systemen alarm hawwe makke troch de grutte hoemannichte fertochte aktiviteit by it ûndersyk, bliuwt de fraach iepen oft it lek al earder eksploitearre is.
De datalek is identifisearre troch NOS en feiligensûndersiker Benjamin Broersma.
Privacy-saakkundigen en feiligensspesjalisten wize op de mooglike risiko's en de needsaak foar bedriuwen om transparanter te wêzen oer sokke ynsidinten. De gegevensbrek fan KLM, dy't ek de susterloftfeartmaatskippij Air France beynfloede, wie in wichtich befeiligingsprobleem wêrby't persoanlike gegevens fan klanten tagonklik wiene foar net foechhawwende partijen. De kearn fan it probleem lei yn de wize wêrop KLM fia SMS flechtynformaasje oan klanten levere, mei help fan hyperlinks mei mar seis karakters. Dizze beheinde lingte makke de keppelings foarsisber en dêrom kwetsber foar automatyske skrapoanfallen.
Benjamin Broersma, dy't belutsen wie by de fynst, merkte op: "Der gongen eins twa dingen mis: de koades wiene te koart en der wiene tefolle wurkkoades." Dit wiist op in fûnemintele swakte yn 'e feiligens fan' e keppelingstruktuer brûkt troch KLM. Nei it NOS-rapport reagearre KLM fluch en lost it probleem binnen in pear oeren op. Yn in skriftlike ferklearring sei it bedriuw: "Us IT-ôfdieling naam fuortendaliks de nedige stappen om dit op te lossen." Klanten moatte no oanmelde by de My Travel-omjouwing fan 'e KLM- of Air France-webside om har flechtynformaasje te besjen, wat de feiligens signifikant hat ferhege.
Feiligensekspert Bert Hubert kommentearre oer de situaasje: "Seis karakters binne gewoan net genôch, se koene it acht of njoggen hawwe makke." Hy beklamme hoe't in lyts ferskil yn 'e lingte fan in koade in grut ferskil meitsje kin yn feiligens. Nettsjinsteande de rappe reaksje fan KLM bliuwt de fraach oft it lek al earder eksploitearre is. Jaap-Henk Hoepman, heechlearaar kompjûterfeiligens oan de Radboud Universiteit, wiisde op de mooglikheid dat kweade partijen minder opfallende metoaden brûke kinne om ûntdekking foar te kommen, lykas it geregeldwei wikseljen fan IP-adressen.
