Trots KLM:s snabba respons kvarstår frågan om läckan har utnyttjats tidigare.
KLM- och Air France-kunder borde vara chockade eftersom forskning visar att deras privata data, inklusive telefonnummer, e-postadresser och ibland passuppgifter, kan ha varit tillgängliga för obehöriga. Detta problem uppdagades genom forskning av NOS, i samarbete med säkerhetsforskaren Benjamin Broersma.
Läckan upptäcktes i hyperlänkarna med flyginformation som skickades till kunder. Dessa länkar, bestående av endast sex tecken, var inte tillräckligt unika, vilket gjorde det möjligt för illvilliga aktörer att framgångsrikt komma åt känslig information med automatiserade skript. Forskarna hittade mer än 900 fungerande länkar, av vilka många exponerade kundernas privata data.
Denna dataexponering utgjorde en allvarlig risk. Brottslingar kan potentiellt använda denna information för att skapa falska resedokument eller utföra riktade nätfiskeattacker. Dessutom fanns möjligheten att redigera eller ta bort pass- och visuminformation. Även om NOS inte har testat detta, och KLM inte har gjort några uttalanden om dess genomförbarhet, är risken för missbruk fortfarande oroande.
upplöst
KLM svarade snabbt på NOS-rapporten och löste problemet inom några timmar. Kunder måste nu först logga in på My Travel-miljön på webbplatsen innan de kan komma åt flyginformationen. Detta har minskat säkerhetsrisken avsevärt. Även om KLM indikerar att deras system larmade på grund av den stora mängden misstänkt aktivitet under utredningen, är frågan fortfarande öppen om läckan har utnyttjats tidigare.
Dataintrånget identifierades av NOS och säkerhetsforskaren Benjamin Broersma.
Integritetsexperter och säkerhetsspecialister påpekar de möjliga riskerna och behovet av att företag är mer transparenta om sådana incidenter. KLM:s dataintrång, som också drabbade systerflygbolaget Air France, var en betydande säkerhetsfråga där kundernas personuppgifter var tillgängliga för obehöriga. Kärnan i problemet låg i hur KLM lämnade flyginformation till kunder via SMS, med hjälp av hyperlänkar med endast sex tecken. Denna begränsade längd gjorde länkarna förutsägbara och därför sårbara för automatiserade skrapningsattacker.
Benjamin Broersma, som var involverad i upptäckten, noterade: "Det var faktiskt två saker som gick fel: koderna var för korta och det fanns för många fungerande koder." Detta indikerar en grundläggande svaghet i säkerheten för länkstrukturen som används av KLM. Efter NOS-rapporten svarade KLM snabbt och löste problemet inom några timmar. I ett skriftligt uttalande sa företaget: "Vår IT-avdelning vidtog omedelbart de nödvändiga åtgärderna för att lösa detta." Kunder måste nu logga in på My Travel-miljön på KLM eller Air Frances webbplats för att se sin flyginformation, vilket har ökat säkerheten avsevärt.
Säkerhetsexperten Bert Hubert kommenterade situationen: "Sex karaktärer är helt enkelt inte tillräckligt, de kunde ha gjort det åtta eller nio." Han betonade hur en liten skillnad i längden på en kod kan göra stor skillnad i säkerheten. Trots KLM:s snabba respons kvarstår frågan om läckan har utnyttjats tidigare. Jaap-Henk Hoepman, universitetslektor i datasäkerhet vid Radboud University, påpekade möjligheten att illvilliga parter kan använda mindre iögonfallande metoder för att undvika upptäckt, som att regelbundet byta IP-adresser.
