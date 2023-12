Privégegevens van KLM-klanten waren niet goed beschermd tegen onbevoegden, bleek uit onderzoek van de NOS. Het gaat om gegevens zoals: telefoonnummers, e-mailadressen en in sommige gevallen zelfs paspoortgegevens. Bij het datalek zaten ook gegevens van zustermaatschappij Air France.

De gegevens konden met een geautomatiseerd script worden gescrapet, dat betekent dat informatie wordt gedownload zonder dat er daadwerkelijk beveiliging werd omzeild. De NOS en beveiligingsonderzoeker Benjamin Broersma vonden in een paar uur tijd ruim 900 werkende links waarachter, naast de vluchtinformatie, ook de privégegevens in stonden.

De fout zat in de hyperlink met vluchtinformatie die KLM-klanten via sms kregen toegestuurd. Dat waren extra korte links met zes tekens, zodat ze makkelijk in het bericht passen. Ze bleken echter zo kort, dat ze niet uniek genoeg waren. Hierdoor kon een kwaadwillende makkelijk veel links uitproberen.

Hoeveel klanten?

Het bedrijf wil volgens de NOS niet zeggen hoeveel klanten er vatbaar waren voor het lek. Wel werd duidelijk dat iedere 100 tot 200 pogingen een geldige link opleverde, wat betekent dat er veel klantgegevens toegankelijk zijn geweest voor het lek.

KLM heeft het probleem, na vrijdagmiddag te zijn ingelicht door de NOS, binnen een paar uur verholpen.