Til tross for KLMs raske respons, gjenstår spørsmålet om lekkasjen har blitt utnyttet tidligere.
KLM- og Air France-kunder burde være sjokkerte fordi forskning viser at deres private data, inkludert telefonnumre, e-postadresser og noen ganger passdetaljer, kan ha vært tilgjengelig for uautoriserte personer. Dette problemet kom frem gjennom forskning fra NOS, i samarbeid med sikkerhetsforsker Benjamin Broersma.
Lekkasjen ble oppdaget i hyperkoblingene med flyinformasjon som ble sendt til kunder. Disse koblingene, bestående av bare seks karakterer, var ikke unike nok, og tillot ondsinnede aktører å få tilgang til sensitiv informasjon med automatiserte skript. Forskerne fant mer enn 900 fungerende lenker, hvorav mange avslørte kundenes private data.
Denne dataeksponeringen utgjorde en alvorlig risiko. Kriminelle kan potensielt bruke denne informasjonen til å lage falske reisedokumenter eller utføre målrettede phishing-angrep. I tillegg var det muligheten til å redigere eller slette pass- og visuminformasjon. Selv om NOS ikke har testet dette, og KLM ikke har kommet med noen uttalelser om gjennomførbarheten, er potensialet for misbruk fortsatt bekymringsfullt.
oppløst
KLM svarte raskt på NOS-rapporten og løste problemet i løpet av få timer. Kunder må nå først logge på My Travel-miljøet på nettstedet før de kan få tilgang til flyinformasjonen. Dette har redusert sikkerhetsrisikoen betydelig. Selv om KLM indikerer at deres systemer slo alarm på grunn av den store mengden mistenkelig aktivitet under etterforskningen, er spørsmålet fortsatt åpent om lekkasjen har blitt utnyttet tidligere.
Datainnbruddet ble identifisert av NOS og sikkerhetsforsker Benjamin Broersma.
Personverneksperter og sikkerhetsspesialister påpeker mulige risikoer og behovet for selskaper å være mer transparente om slike hendelser. KLM-databruddet, som også rammet søsterflyselskapet Air France, var et betydelig sikkerhetsproblem der kundenes personopplysninger var tilgjengelige for uautoriserte parter. Kjernen av problemet lå i måten KLM ga flyinformasjon til kunder via SMS, ved å bruke hyperkoblinger med kun seks tegn. Denne begrensede lengden gjorde koblingene forutsigbare og derfor sårbare for automatiserte skrapingangrep.
Benjamin Broersma, som var involvert i oppdagelsen, bemerket: "Det var faktisk to ting som gikk galt: kodene var for korte, og det var for mange fungerende koder." Dette indikerer en grunnleggende svakhet i sikkerheten til lenkestrukturen som brukes av KLM. Etter NOS-rapporten reagerte KLM raskt og løste problemet i løpet av få timer. I en skriftlig uttalelse sa selskapet: "Vår IT-avdeling tok umiddelbart de nødvendige skritt for å løse dette." Kunder må nå logge på My Travel-miljøet til KLM eller Air France-nettstedet for å se flyinformasjonen deres, noe som har økt sikkerheten betydelig.
Sikkerhetsekspert Bert Hubert kommenterte situasjonen: "Seks karakterer er bare ikke nok, de kunne ha fått det til åtte eller ni." Han la vekt på hvordan en liten forskjell i lengden på en kode kan utgjøre en stor forskjell i sikkerheten. Til tross for KLMs raske respons, gjenstår spørsmålet om lekkasjen har blitt utnyttet tidligere. Jaap-Henk Hoepman, universitetslektor i datasikkerhet ved Radboud-universitetet, påpekte muligheten for at ondsinnede parter kan bruke mindre iøynefallende metoder for å unngå oppdagelse, for eksempel å jevnlig bytte IP-adresser.
