Apesar da resposta rápida da KLM, permanece a questão se o vazamento já foi explorado antes.
Os clientes da KLM e da Air France deveriam ficar chocados porque a investigação mostra que os seus dados privados, incluindo números de telefone, endereços de e-mail e, por vezes, dados de passaporte, podem ter sido acessíveis a pessoas não autorizadas. Este problema veio à tona através de uma investigação da NOS, em colaboração com o investigador de segurança Benjamin Broersma.
O vazamento foi descoberto nos hiperlinks de informações de voo enviados aos clientes. Esses links, compostos por apenas seis caracteres, não eram exclusivos o suficiente, permitindo que atores mal-intencionados acessassem informações confidenciais com sucesso com scripts automatizados. Os pesquisadores encontraram mais de 900 links funcionais, muitos dos quais expunham dados privados dos clientes.
Esta exposição de dados representava um risco sério. Os criminosos poderiam usar essas informações para criar documentos de viagem falsos ou realizar ataques de phishing direcionados. Além disso, havia a opção de editar ou excluir informações de passaporte e visto. Embora a NOS não tenha testado isto e a KLM não tenha feito quaisquer declarações sobre a sua viabilidade, o potencial de abuso continua preocupante.
dissolvido
A KLM respondeu rapidamente ao relatório da NOS e resolveu o problema em poucas horas. Os clientes agora devem primeiro fazer login no ambiente Minha Viagem do site antes de poderem acessar as informações do voo. Isto reduziu significativamente o risco de segurança. Embora a KLM indique que os seus sistemas dispararam o alarme devido à grande quantidade de atividades suspeitas durante a investigação, a questão permanece em aberto se o vazamento já foi explorado antes.
A violação de dados foi identificada pela NOS e pelo investigador de segurança Benjamin Broersma.
Especialistas em privacidade e especialistas em segurança apontam os possíveis riscos e a necessidade de as empresas serem mais transparentes sobre tais incidentes. A violação de dados da KLM, que também afetou a companhia aérea irmã Air France, foi um problema de segurança significativo em que os dados pessoais dos clientes estavam acessíveis a partes não autorizadas. O cerne do problema estava na forma como a KLM fornecia informações de voo aos clientes via SMS, usando hiperlinks com apenas seis caracteres. Esse comprimento limitado tornou os links previsíveis e, portanto, vulneráveis a ataques automatizados de raspagem.
Benjamin Broersma, que esteve envolvido na descoberta, observou: “Na verdade, havia duas coisas que correram mal: os códigos eram demasiado curtos e havia demasiados códigos funcionais”. Isto indica uma fraqueza fundamental na segurança da estrutura de ligação utilizada pela KLM. Após o relatório da NOS, a KLM respondeu rapidamente e resolveu o problema em poucas horas. Em comunicado por escrito, a empresa disse: “Nosso departamento de TI tomou imediatamente as medidas necessárias para resolver isso”. Os clientes agora precisam fazer login no ambiente My Travel do site da KLM ou da Air France para visualizar as informações de seus voos, o que aumentou significativamente a segurança.
O especialista em segurança Bert Hubert comentou sobre a situação: “Seis caracteres simplesmente não são suficientes, eles poderiam ter sido oito ou nove”. Ele destacou como uma pequena diferença no comprimento de um código pode fazer uma grande diferença na segurança. Apesar da resposta rápida da KLM, permanece a questão se o vazamento já foi explorado antes. Jaap-Henk Hoepman, professor sênior de segurança de computadores na Radboud University, apontou a possibilidade de partes mal-intencionadas usarem métodos menos visíveis para evitar a detecção, como a troca regular de endereços IP.
