Napriek rýchlej reakcii KLM zostáva otázkou, či únik už predtým zneužili.
Zákazníci KLM a Air France by mali byť šokovaní, pretože prieskum ukazuje, že ich súkromné údaje vrátane telefónnych čísel, e-mailových adries a niekedy aj údajov z pasu mohli byť prístupné neoprávneným osobám. Tento problém vyšiel najavo vďaka výskumu NOS v spolupráci s bezpečnostným výskumníkom Benjaminom Broersmom.
Únik bol objavený v hypertextových odkazoch s informáciami o letoch odoslaných zákazníkom. Tieto odkazy, ktoré pozostávali iba zo šiestich znakov, neboli dostatočne jedinečné, čo umožňovalo zlomyseľným aktérom úspešne pristupovať k citlivým informáciám pomocou automatických skriptov. Výskumníci našli viac ako 900 funkčných odkazov, z ktorých mnohé odhalili súkromné údaje zákazníkov.
Toto vystavenie údajov predstavovalo vážne riziko. Zločinci by tieto informácie mohli potenciálne použiť na vytvorenie falošných cestovných dokladov alebo na cielené phishingové útoky. Okrem toho existovala možnosť upraviť alebo odstrániť informácie o pasoch a vízach. Hoci NOS to netestoval a KLM neurobila žiadne vyhlásenia o jeho uskutočniteľnosti, potenciál zneužitia zostáva znepokojujúci.
rozpustený
KLM rýchlo zareagovala na správu NOS a problém vyriešila v priebehu niekoľkých hodín. Zákazníci sa teraz musia najprv prihlásiť do prostredia webovej stránky My Travel, aby mohli získať prístup k informáciám o lete. Tým sa výrazne znížilo bezpečnostné riziko. Hoci spoločnosť KLM uvádza, že ich systémy vyvolali poplach kvôli veľkému množstvu podozrivých aktivít počas vyšetrovania, zostáva otvorená otázka, či už došlo k zneužitiu úniku.
Porušenie údajov identifikoval NOS a bezpečnostný výskumník Benjamin Broersma.
Odborníci na ochranu súkromia a odborníci na bezpečnosť upozorňujú na možné riziká a potrebu, aby spoločnosti pri takýchto incidentoch boli transparentnejšie. Porušenie údajov KLM, ktoré postihlo aj sesterskú leteckú spoločnosť Air France, bolo významným bezpečnostným problémom, pri ktorom boli osobné údaje zákazníkov prístupné neoprávneným stranám. Jadro problému spočívalo v spôsobe, akým KLM poskytovala informácie o letoch zákazníkom prostredníctvom SMS pomocou hypertextových odkazov s iba šiestimi znakmi. Táto obmedzená dĺžka spôsobila, že odkazy boli predvídateľné, a preto boli zraniteľné voči automatizovaným útokom zoškrabovania.
Benjamin Broersma, ktorý sa podieľal na objave, poznamenal: „V skutočnosti sa pokazili dve veci: kódy boli príliš krátke a pracovných kódov bolo príliš veľa. To naznačuje základnú slabinu v bezpečnosti štruktúry odkazov používanej KLM. Po správe NOS KLM rýchlo zareagovala a problém vyriešila v priebehu niekoľkých hodín. V písomnom vyhlásení spoločnosť uviedla: "Naše IT oddelenie okamžite podniklo potrebné kroky na vyriešenie tohto problému." Zákazníci sa teraz musia prihlásiť do prostredia My Travel na webovej stránke KLM alebo Air France, aby si mohli pozrieť informácie o svojom lete, čo výrazne zvýšilo bezpečnosť.
Bezpečnostný expert Bert Hubert situáciu komentoval: „Šesť znakov je jednoducho málo, mohli ich urobiť osem alebo deväť. Zdôraznil, ako malý rozdiel v dĺžke kódu môže znamenať veľký rozdiel v bezpečnosti. Napriek rýchlej reakcii KLM zostáva otázkou, či únik už predtým zneužili. Jaap-Henk Hoepman, docent v oblasti počítačovej bezpečnosti na Radboud University, poukázal na možnosť, že škodlivé strany by mohli použiť menej nápadné metódy, aby sa vyhli detekcii, ako je pravidelné prepínanie IP adries.
