KLM heeft klanten geïnformeerd over een datalek bij een externe klantenservice-partner, waarbij contactinformatie en Flying Blue-gegevens zijn buitgemaakt. De luchtvaartmaatschappij benadrukt dat “gevoelige” gegevens zoals wachtwoorden en reisdata niet zijn geraakt.
Uit de klantencommunicatie blijkt dat reizigers die eerder contact hadden met de klantenservice kwetsbaar zijn voor het lek. Voor- en achternaam, telefoonnummers, e-mailadressen, Flying Blue-nummers en -status, plus het onderwerp van support tickets kunnen zijn buitgemaakt.
Het incident werd gemeld bij toezichthouders door beide bedrijfstakken van AirFrance-KLM. KLM rapporteerde aan de Autoriteit Persoonsgegevens, terwijl Air France dit deed bij de Franse privacywaakhond CNIL.
Beperkt tot klantenservice-platform
Het datalek trof een extern platform dat zowel KLM als Air France gebruiken voor hun klantenondersteuning. “Daarbij is onrechtmatig toegang verkregen tot klantgegevens”, aldus een KLM-woordvoerder. De inbraak werd ontdekt door de IT-security-teams, die samen met de externe partner onmiddellijk actie ondernamen.
De eigen systemen van KLM en Air France bleven gespaard. Volgens de maatschappij zijn “geen gevoelige gegevens zoals wachtwoorden, reisgegevens, Flying Blue-miles, paspoort- of creditcardgegevens ontvreemd”. Wel is de werkelijke buit genoeg om overtuigende phishing-mails te versturen, dus extra voorzichtigheid bij wat er in de inbox komt, is aan te raden.
Voorzorgsmaatregel voor klanten
KLM adviseert getroffen klanten dan ook om extra alert te zijn op verdachte communicatie via e-mail of telefoon. Het is niet het eerste datalek waarbij de luchtvaartmaatschappij betrokken is. In december 2023 onthulde een onderzoek van de NOS hoe KLM-vluchtgegevens via sms-links toegankelijk waren door zwakke beveiliging. Ook begin 2023 was er een datalek bij Flying Blue waarbij klantgegevens werden buitgemaakt.