Persoonlijke vluchtinformatie KLM-klanten eenvoudig te scrapen
Persoonlijke vluchtinformatie van klanten van KLM waren eenvoudig inzichtelijk voor onbevoegden. Het gaat onder meer op telefoonnummer en e-mailadressen, maar in sommige gevallen ook om paspoortgegevens.
Dit meldt de NOS op basis van onderzoek. In een paar uur tijd wist beveiligingsonderzoeker Benjamin Broersma ruim 900 werkende URL's met persoonlijke vluchtinformatie van klanten te scrapen. De NOS meldt dat de pagina ook de mogelijkheid bood paspoort- of visuminformatie aan te passen of te verwijderen. De NOS heeft echter niet getest of dat daadwerkelijk mogelijk was.
URL's van slechts zes tekens
Het datalek raakt niet alleen klanten van KLM, maar ook van zustermaatschappij Air France. De URL's die de onderzoeker wist te scrapen worden normaliter door KLM via sms naar klanten gestuurd. Het gaat daarbij om korte links van slechts zes tekens, die hierdoor eenvoudiger in een sms passen. In de praktijk zijn deze URL's echter niet uniek genoeg, waardoor kwaadwillenden deze eenvoudig kunnen raden.
Dit proces is ook automatiseerbaar. Dit het mogelijk op grote schaal URL's uit te proberen. De NOS meldt dat voor iedere 100 of 200 adressen die geautomatiseerd ingevoerd worden, er één geldig is.
Probleem opgelost
Het probleem is inmiddels opgelost. "Onze IT-afdeling heeft onmiddellijk de nodige maatregelen genomen om dit te verhelpen", meldt KLM in een schriftelijke verklaring. "Wie nu op de link klikt, moet eerst inloggen in de Mijn Reis-omgeving van de website van KLM of Air France. De situatie is hierdoor weer veilig en normaal."
Meer over Security
Over Wouter Hoeffnagel
