De privégegevens van KLM- en Air France-passagiers waren eenvoudig te bemachtigen. Hyperlinks naar vluchtinformatie varieerden te weinig, waardoor de mogelijkheid bestond om data van andere klanten op grote schaal te verzamelen.
De onthulling werd gedaan door de NOS, dat samen met security-onderzoeker Benjamin Broersma had uitgetest of de privédata te bemachtigen was via het aanpassingen van een hyperlink die per sms door KLM werd verzonden.
Wie van KLM de eigen vluchtinformatie wilde ontvangen per sms, kreeg een korte link met zes tekens. Een kwaadwillende zou automatisch allerlei combinaties van deze tekens hebben kunnen uittesten, waarmee men elke 100 à 200 keer een geldige link zou aantreffen. Volgens de NOS leek het vervolgens zelfs mogelijk te zijn om paspoort- en visuminformatie te bewerken en te verwijderen, maar dit testte men niet uit.
KLM blokkeerde de IP-adressen waarmee het onderzoek werd uitgevoerd na ruim vijf uur. Inmiddels heeft de vliegtuigmaatschappij een extra inlogscherm toegevoegd zodat niemand bij andermans vluchtgegevens kan komen.
Vatbaar voor automatische scripts
Broersma stelt in gesprek met de NOS dat de zescijferige code in de hyperlinks te kort is en er te veel werkende codes waren. Met zes cijfers bestaan er namelijk 56,8 miljard combinaties, waarvan er één op de 100 tot 200 geldig bleken te zijn. De “meest conservatieve schatting” van de NOS is dat 0,5 procent van alle combinaties geldig waren, waardoor er minimaal 284 miljoen juiste combinaties zouden hebben bestaan.
KLM verschaft weinig duidelijkheid over de verdere aard van het datalek. Zo wilde men niet prijsgeven of de paspoort- en visuminformatie daadwerkelijk aan te passen was via de geldige hyperlinks. Ook ontvangt slechts een “klein percentage” van het klantenbestand een dergelijk sms’je.
De NOS stelt dat het geen moeite had gedaan om onopgemerkt te blijven met hun onderzoek. Door “bijvoorbeeld elke paar seconden” automatisch te wisselen van IP-adres, had de blokkade van KLM na ruim vijf uur een kwaadwillende niet tegengehouden.
Niet de eerste keer
Het is niet de eerste keer dit jaar dat Air France-KLM met een datalek te maken heeft. Leden van het frequent flyer-programma van de maatschappij kregen in januari per mail te horen dat hun gegevens voor een “niet-gemachtigde partij” toegankelijk waren.
Lees ook: KLM verliest klantgegevens in datalek
2 dagen geleden
