KLM en Air France lekten passagiersgegevens via te korte sms-links
Privégegevens van mensen die via KLM en Air France reisden, zoals telefoonnummers en e-mailadressen en in sommige gevallen ook paspoortgegevens, waren eenvoudig voor onbevoegden te achterhalen, zo stelt de NOS op basis van eigen onderzoek. Het datalek werd veroorzaakt door de links met vluchtinformatie die de luchtvaartmaatschappijen via sms naar passagiers stuurden.
De links bestonden uit zes tekens om in een sms te passen. Daarbij was er verder geen authenticatie vereist om de gelinkte vluchtinformatie te bekijken, waardoor een aanvaller kon proberen om geldig tekencombinaties via een script te achterhalen. Van elke honderd tot tweehonderd adressen die automatisch waren te proberen was er dan één geldig. Uit het onderzoek bleek dat de codes te kort waren en er te veel werkende codes waren.
Na te zijn ingelicht op vrijdagmiddag werd het probleem bij zowel KLM als Air France binnen een paar uur verholpen. De sms-links die de luchtvaartmaatschappijen nu versturen verplicht dat passagiers eerst op de Mijn Reis-omgeving van de website van KLM of Air France inloggen. Van hoeveel mensen de gegevens zijn gelekt wil KLM niet zeggen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Je doet de aanname dat dat niet is gedaan. Een whitehat hacker is geen garantie dat ook alles gevonden wordt, dagelijks genoeg voorbeelden.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
En wat als het getest is, maar deze 'lek' niet geconstateerd is? Grote bedrijven of mensen binnen deze organisaties denken 'test maar even' omdat zij het nut van testen niet zien. Totdat er zo'n lek in de media verschijnt en dan gaan ze strooien met geld om het op te lossen. Voorkomen in plaats van oplossen is het beste wat je kunt doen. Want nu hebben ze al imagoschade opgelopen.
Worden klanten waarvan, al dan niet, mogelijk de gegevens op straat zijn komen te liggen ook nog op de hoogte gesteld? Ik vlieg bijna nooit met KLM maar zou toch vervelend zijn als mijn gegevens op straat liggen voor die 2/3 keer dat ik ooit met KLM heb gevlogen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Leuk, maar het feit dat zoiets niet gevonden wordt, wil niet zeggen dat het er niet in zit. Al was deze wel erg makkelijk...
Buiten dat: er zijn in de EUSSR al veel en veel teveel 'regeltjes' en verplichtingen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Je doet de aanname dat dat niet is gedaan.
1) er bestaat namelijk geen wettelijke regeling hiervoor,
2) als het getest was, dan waren er nu geen problemen geweest.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Ze zijn al verplicht om persoonsgegevens te beveiligen naar de stand van de techniek. Dus...
Een pentest is geen garantie dat iedere vulnerability gevonden wordt maar haalt vaak wel het low hanging fruit eruit (waar ik dit onder schaar).
Ik verwacht dat een bedrijf als KLM echt wel pentesten uit laat voeren maar kan me zomaar voorstellen dat deze linkjes die per sms werden verstuurd niet in de scope van een pentest zijn opgenomen.
Hoe vaak zie je niet dat er een web applicatie getest wordt maar de bijbehorende API geheel buiten beschouwing gelaten wordt..
Hoeveel van dit soort links ook niet in referer data komen bij bijvoorbeeld CDN partijen.
Wetgeving dwingt inmiddels af dat je met 1 klik uitschreven moet kunnen worden van een nieuwsbrief. Met 2 klikken had je veel van dit soort fouten meteen kunnen voorkomen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Je doet de aanname dat dat niet is gedaan.
1) er bestaat namelijk geen wettelijke regeling hiervoor,
2) als het getest was, dan waren er nu geen problemen geweest.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Een test voorafgaand aan ingebruikname had dit trouwens alleen maar opgespoord als in de testomgeving de volumes (aantallen passagiers en SMS-berichten) overeenkomen met de werkelijkheid. Vaak wordt met kleinere volumes getest. Een rekensommetje is veel simpeler en doeltreffender dan een testomgeving opzetten en proefondervindelijk ontdekken wat ook te berekenen valt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
