KLM lekte data klanten: privégegevens eenvoudig te verzamelen

Privégegevens van KLM-klanten, waaronder telefoonnummers, e-mailadressen en in sommige gevallen ook paspoortgegevens, waren eenvoudig binnen te halen door onbevoegden. Dat blijkt uit onderzoek van de NOS. Het datalek betrof ook klanten van zustermaatschappij Air France.

De fout zat in de hyperlink met vluchtinformatie die KLM-klanten via sms kregen toegestuurd. Dat waren extra korte links met zes tekens, zodat ze makkelijk in een sms passen. Ze blijken echter zo kort, dat ze niet uniek genoeg waren. Een kwaadwillende kon op grote schaal proberen links te raadplegen; van elke 100 tot 200 adressen die geautomatiseerd worden ingevoerd, was er dan één geldig.

Met een geautomatiseerd script konden de gegevens eenvoudig worden gescrapet: dat betekent dat informatie kan worden gedownload zonder dat er daadwerkelijk beveiliging hoeft te worden omzeild. In een paar uur tijd vonden de NOS en beveiligingsonderzoeker Benjamin Broersma samen ruim 900 werkende links waarachter naast vluchtinformatie dus vaak ook privégegevens te zien waren.

KLM heeft het probleem, na vrijdagmiddag te zijn ingelicht door de NOS, binnen een paar uur verholpen. "Onze IT-afdeling heeft onmiddellijk de nodige maatregelen genomen om dit te verhelpen", laat het bedrijf weten in een schriftelijke verklaring. "Wie nu op de link klikt, moet eerst inloggen in de Mijn Reis-omgeving van de website van KLM of Air France. De situatie is hierdoor weer veilig en normaal."