Pomimo szybkiej reakcji KLM pozostaje pytanie, czy wyciek był już wcześniej wykorzystywany.
Klienci KLM i Air France powinni być zszokowani, bo badania pokazują, że ich prywatne dane, w tym numery telefonów, adresy e-mail, a czasami dane paszportowe, mogły zostać udostępnione osobom nieupoważnionym. Problem ten wyszedł na światło dzienne w wyniku badań przeprowadzonych przez NOS we współpracy z badaczem bezpieczeństwa Benjaminem Broersmą.
Wyciek wykryto w hiperłączach do informacji o lotach wysyłanych do klientów. Linki te, składające się tylko z sześciu znaków, nie były wystarczająco unikalne, aby umożliwić złośliwym podmiotom pomyślny dostęp do poufnych informacji za pomocą zautomatyzowanych skryptów. Badacze znaleźli ponad 900 działających linków, z których wiele ujawniało prywatne dane klientów.
To ujawnienie danych stwarzało poważne ryzyko. Przestępcy mogą potencjalnie wykorzystać te informacje do tworzenia fałszywych dokumentów podróży lub przeprowadzania ukierunkowanych ataków phishingowych. Dodatkowo istniała możliwość edycji lub usunięcia danych paszportowych i wizowych. Chociaż NOS nie przetestował tego rozwiązania, a KLM nie wydał żadnych oświadczeń na temat jego wykonalności, potencjał nadużyć pozostaje niepokojący.
rozpuszczony
KLM szybko zareagował na raport NOS i rozwiązał problem w ciągu kilku godzin. Aby uzyskać dostęp do informacji o lotach, klienci muszą teraz najpierw zalogować się do środowiska My Travel na stronie internetowej. To znacznie zmniejszyło ryzyko bezpieczeństwa. Chociaż KLM wskazuje, że ich systemy podniosły alarm ze względu na dużą liczbę podejrzanych działań podczas dochodzenia, otwarte pozostaje pytanie, czy wyciek był już wcześniej wykorzystywany.
Naruszenie danych zostało zidentyfikowane przez NOS i badacza bezpieczeństwa Benjamina Broersmę.
Eksperci ds. prywatności i specjaliści ds. bezpieczeństwa zwracają uwagę na możliwe ryzyko i potrzebę większej przejrzystości w przypadku takich incydentów. Naruszenie danych KLM, które dotknęło także siostrzaną linię lotniczą Air France, stanowiło istotne naruszenie bezpieczeństwa, w związku z czym dane osobowe klientów były dostępne dla osób nieuprawnionych. Sedno problemu polegało na sposobie, w jaki KLM przekazywał klientom informacje o lotach za pomocą wiadomości SMS, korzystając z hiperłączy składających się tylko z sześciu znaków. Ta ograniczona długość sprawiła, że linki były przewidywalne i dlatego były podatne na automatyczne ataki polegające na skrobaniu.
Benjamin Broersma, który brał udział w tym odkryciu, zauważył: „Właściwie dwie rzeczy szły nie tak: kody były za krótkie i zbyt wiele działających kodów”. Wskazuje to na zasadniczą słabość w bezpieczeństwie struktury połączeń wykorzystywanej przez KLM. Po zgłoszeniu NOS KLM szybko zareagował i rozwiązał problem w ciągu kilku godzin. W pisemnym oświadczeniu firma stwierdziła: „Nasz dział IT natychmiast podjął niezbędne kroki, aby rozwiązać ten problem”. Klienci muszą teraz zalogować się do środowiska My Travel na stronie internetowej KLM lub Air France, aby wyświetlić informacje o swoich lotach, co znacznie zwiększyło bezpieczeństwo.
Ekspert ds. bezpieczeństwa Bert Hubert tak skomentował sytuację: „Sześć znaków to po prostu za mało, mogli zrobić osiem lub dziewięć”. Podkreślił, że niewielka różnica w długości kodu może mieć duże znaczenie w zakresie bezpieczeństwa. Pomimo szybkiej reakcji KLM pozostaje pytanie, czy wyciek był już wcześniej wykorzystywany. Jaap-Henk Hoepman, starszy wykładowca bezpieczeństwa komputerowego na Uniwersytecie Radboud, zwrócił uwagę na możliwość stosowania przez złośliwe strony mniej rzucających się w oczy metod, aby uniknąć wykrycia, takich jak regularne zmienianie adresów IP.
