Cybercriminelen konden vrij eenvoudig vertrouwelijke gegevens van klanten van KLM en zustermaatschappij Air France achterhalen. Deze informatie konden ze misbruiken om valse reisdocumenten te maken, maar ook voor gerichte phishingcampagnes. Of het lek ook daadwerkelijk is misbruikt, is onbekend. KLM zegt het probleem inmiddels te hebben verholpen.

Dat blijkt uit onderzoek van de NOS met beveiligingsexpert Benjamin Broersma.

Privégegevens downloaden en paspoortinformatie bewerken

Het probleem zat hem in de hyperlink met vluchtinformatie. Deze URL bestond uit slechts zes tekens (hoofdletters, kleine letters en cijfers), zodat de link gemakkelijk in een sms-bericht paste. De hyperlinks waren echter zo kort, dat ze niet uniek genoeg waren. Het gevolg was dat van elke honderd tot tweehonderd adressen die geautomatiseerd werden ingevoerd, er één geldig was.

Achter deze links ging in de meeste gevallen een berg aan persoonlijke en privacygevoelige informatie schuil. Dan moet je denken aan vluchtinformatie, maar ook namen, e-mailadressen, telefoonnummers en, in sommige gevallen, paspoortgegevens. Deze data zijn goud waard voor criminelen. Ze kunnen de gegevens bundelen en doorverkopen aan de hoogste bieder. Tevens is het mogelijk om hiermee valse reisdocumenten uit te geven, of spearphishingcampagnes op te zetten naar KLM-klanten.

Om het nog erger te maken: met een geautomatiseerd script konden vlucht- en privégegevens eenvoudig worden verzameld en gedownload. Volgens de NOS was het tevens mogelijk om paspoort- en visuminformatie te bewerken en verwijderen. Dit heeft de redactie echter niet getest. KLM wil niet bevestigen of dat inderdaad kon.

Binnen enkele uren honderden werkende links

Broersma zegt dat er twee dingen mis gingen: de hyperlinks waren te kort en er waren te veel werkende codes. Zodoende slaagden de NOS en beveiligingsonderzoeker Benjamin Broersma erin om binnen enkele uren ruim negenhonderd werkende links te genereren. Naar schatting werkte tussen de 0,5 en 1,5 procent van de geprobeerde links. Volgens een voorzichtige inschatting betekent dit dat 284 miljoen combinaties juist blijken te zijn. KLM wilde niet reageren op deze ‘hypothetische berekening’.

Bert Hubert, die tot afgelopen jaar als beveiligingsspecialist en softwareontwikkelaar bij de Toetsingscommissie Inzet Bevoegdheden (TIB) werkte, erkent dat het beveiligingsbeleid van KLM te wensen overlaat. Hij denkt dat er ‘iemand heeft liggen slapen’ bij de luchtvaartmaatschappij. “Zes tekens is gewoon echt niet genoeg, ze hadden er ook acht of negen van kunnen maken”, zo zegt Hubert tegen de NOS. Bij zes tekens zijn er 57 miljard verschillende combinaties mogelijk, bij acht tekens zijn dat er meer dan 200 biljoen.

KLM heeft het lek verholpen

Of het lek is misbruikt door kwaadwillenden, is onbekend. Ook over het aantal slachtoffers wil KLM niets zeggen. “Wij nemen de privacy van onze passagiers serieus en voeren hierin een zeer geavanceerd veiligheidsbeleid”, zo laat het bedrijf in een reactie weten.

Zodra de NOS en beveiligingsonderzoeker Broersma het lek ontdekten, hebben ze dit direct doorgegeven aan KLM. De luchtvaartmaatschappij loste het probleem afgelopen vrijdag vervolgens binnen enkele uren op.

“Onze IT-afdeling heeft onmiddellijk de nodige maatregelen genomen om dit te verhelpen. Wie nu op de link klikt, moet eerst inloggen in de Mijn Reis-omgeving van de website van KLM of Air France. De situatie is hierdoor weer veilig en normaal”, zo laat het bedrijf in een schriftelijke verklaring weten.