Air Canada lekt paspoortgegevens van zijn app-gebruikers

Abonneer je gratis op Techzine!

Air Canada raadt alle gebruikers van zijn mobiele app aan om hun wachtwoorden te resetten. Dat nadat het bedrijf een potentieel datalek ontdekte. Het is niet zeker of er daadwerkelijk gegevens gehackt zijn, maar het bedrijf denkt dat een zeer klein deel van de gebruikersaccounts mogelijk gekraakt is.

Dat meldt Air Canada in een bericht aan zijn klanten. Het stelt tussen 22 en 24 augustus “ongewoon inloggedrag” gedetecteerd te hebben. De vliegmaatschappij stelt daarop meteen actie ondernomen te hebben, zodat de pogingen geen zin zouden hebben. Er zijn vervolgens “aanvullende protocollen geïmplementeerd om nieuwe niet-toegestane inlogpogingen te blokkeren”.

Ongewoon inloggedrag

Air Canada stelt dat er mogelijk zo’n 20.000 profielen van de 1,7 miljoen klanten die het heeft gehackt zijn. Er zijn geen creditcardgegevens buitgemaakt bij die mogelijke datalekken, maar mogelijk wel namen, telefoonnummers en mailadressen. In sommige gevallen is er nog meer data bloot komen te liggen: het Aeroplan-nummer, paspoortnummer, NEXUS-nummer, Known Traveler Number, geslacht, geboortedatum, nationaliteit, paspoortvervaldatum, uitgifteland van het paspoort en het land waar iemand woont.

Air Canada heeft niets bekend gemaakt over de manier waarop het datalek plaats kon vinden. Wel meldt het dat er “ongewoon inloggedrag” gedetecteerd werd. Dat wijst erop dat er mogelijk een hacker actief was die geprobeerd heeft wachtwoorden die van andere sites gestolen zijn te gebruiken om mee in te loggen.

Onveilige app

Tegenover de site Silicon Angle stelt een veiligheidsonderzoeker dat Air Canada voor zijn mobiele app gebruik maakt van het Aeroplan-platform. Dat zou heel nuttig zijn voor zakelijke activiteit, maar niet veilig genoeg. De koppeling van het platform met de app zou “tekortschieten op het vlak van beveiliging”.

Problematisch is dat de inlogmethode die Air Canada gebruikt niet heel veilig is. Gebruikers hoeven enkel een wachtwoord in te vullen om op hun account in te loggen. Er is dus geen tweede veiligheidssleutel vereist. Daarnaast zijn de eisen aan wachtwoorden bepaald niet hoog: ze moeten tussen de zes en tien tekens lang zijn en het gebruik van speciale tekens is niet verplicht.