image

KLM en Air France lekten passagiersgegevens via te korte sms-links

maandag 18 december 2023, 09:22 door Redactie, 12 reacties

Privégegevens van mensen die via KLM en Air France reisden, zoals telefoonnummers en e-mailadressen en in sommige gevallen ook paspoortgegevens, waren eenvoudig voor onbevoegden te achterhalen, zo stelt de NOS op basis van eigen onderzoek. Het datalek werd veroorzaakt door de links met vluchtinformatie die de luchtvaartmaatschappijen via sms naar passagiers stuurden.

De links bestonden uit zes tekens om in een sms te passen. Daarbij was er verder geen authenticatie vereist om de gelinkte vluchtinformatie te bekijken, waardoor een aanvaller kon proberen om geldig tekencombinaties via een script te achterhalen. Van elke honderd tot tweehonderd adressen die automatisch waren te proberen was er dan één geldig. Uit het onderzoek bleek dat de codes te kort waren en er te veel werkende codes waren.

Na te zijn ingelicht op vrijdagmiddag werd het probleem bij zowel KLM als Air France binnen een paar uur verholpen. De sms-links die de luchtvaartmaatschappijen nu versturen verplicht dat passagiers eerst op de Mijn Reis-omgeving van de website van KLM of Air France inloggen. Van hoeveel mensen de gegevens zijn gelekt wil KLM niet zeggen.

Reacties (12)
18-12-2023, 09:28 door Anoniem
Misschien moeten bedrijven wettelijk verplicht worden dit eerst te testen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.

Welke regering gaat dit voor ons even regelen?
18-12-2023, 10:02 door Anoniem
Door Anoniem: Misschien moeten bedrijven wettelijk verplicht worden dit eerst te testen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.

Welke regering gaat dit voor ons even regelen?

Je doet de aanname dat dat niet is gedaan. Een whitehat hacker is geen garantie dat ook alles gevonden wordt, dagelijks genoeg voorbeelden.
18-12-2023, 10:22 door Anoniem
Door Anoniem: Misschien moeten bedrijven wettelijk verplicht worden dit eerst te testen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.

Welke regering gaat dit voor ons even regelen?

En wat als het getest is, maar deze 'lek' niet geconstateerd is? Grote bedrijven of mensen binnen deze organisaties denken 'test maar even' omdat zij het nut van testen niet zien. Totdat er zo'n lek in de media verschijnt en dan gaan ze strooien met geld om het op te lossen. Voorkomen in plaats van oplossen is het beste wat je kunt doen. Want nu hebben ze al imagoschade opgelopen.

Worden klanten waarvan, al dan niet, mogelijk de gegevens op straat zijn komen te liggen ook nog op de hoogte gesteld? Ik vlieg bijna nooit met KLM maar zou toch vervelend zijn als mijn gegevens op straat liggen voor die 2/3 keer dat ik ooit met KLM heb gevlogen.
18-12-2023, 10:55 door Anoniem
Misschien moet het wettelijk verplicht worden een boete te betalen per gelekt persoonsgegeven, dus € 50,- per naam, € 100,- per (email)adres, € 100,- per telefoonnummer, etc.. Misschien dat dan de bedrijven wakker worden en alleen de strikt noodzakelijk persoonsdata gaan bewaren. Want de bedrijven hebben er niet zoveel last van dat jou en mijn gegevens door ze worden gelekt.
18-12-2023, 11:18 door Anoniem
Door Anoniem: Misschien moeten bedrijven wettelijk verplicht worden dit eerst te testen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.

Welke regering gaat dit voor ons even regelen?
Absence of proof is no proof of absence.

Leuk, maar het feit dat zoiets niet gevonden wordt, wil niet zeggen dat het er niet in zit. Al was deze wel erg makkelijk...

Buiten dat: er zijn in de EUSSR al veel en veel teveel 'regeltjes' en verplichtingen.
18-12-2023, 11:25 door Anoniem
Door Anoniem:
Door Anoniem: Misschien moeten bedrijven wettelijk verplicht worden dit eerst te testen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.

Welke regering gaat dit voor ons even regelen?

Je doet de aanname dat dat niet is gedaan.
Kennelijk is die aanname juist.
1) er bestaat namelijk geen wettelijke regeling hiervoor,
2) als het getest was, dan waren er nu geen problemen geweest.
18-12-2023, 11:57 door Anoniem
Door Anoniem: Misschien moeten bedrijven wettelijk verplicht worden dit eerst te testen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.

Welke regering gaat dit voor ons even regelen?

Ze zijn al verplicht om persoonsgegevens te beveiligen naar de stand van de techniek. Dus...
18-12-2023, 14:09 door Anoniem
Het klinkt heel erg als een typische IDOR (Insecure Direct Object Reference) vulnerability.
Een pentest is geen garantie dat iedere vulnerability gevonden wordt maar haalt vaak wel het low hanging fruit eruit (waar ik dit onder schaar).

Ik verwacht dat een bedrijf als KLM echt wel pentesten uit laat voeren maar kan me zomaar voorstellen dat deze linkjes die per sms werden verstuurd niet in de scope van een pentest zijn opgenomen.
Hoe vaak zie je niet dat er een web applicatie getest wordt maar de bijbehorende API geheel buiten beschouwing gelaten wordt..
18-12-2023, 16:58 door Anoniem
Linkjes naar in-gelogde-sessies: altijd problematisch. En het is zo simpel te voorkomen: gewoon even 1 detail vragen (zoals een postcode of achternaam) voordat je alle informatie toont, kijk het gewoon af bij de bedrijven die het al goed doen zou je denken!

Hoeveel van dit soort links ook niet in referer data komen bij bijvoorbeeld CDN partijen.

Wetgeving dwingt inmiddels af dat je met 1 klik uitschreven moet kunnen worden van een nieuwsbrief. Met 2 klikken had je veel van dit soort fouten meteen kunnen voorkomen.
18-12-2023, 20:46 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Misschien moeten bedrijven wettelijk verplicht worden dit eerst te testen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.

Welke regering gaat dit voor ons even regelen?

Je doet de aanname dat dat niet is gedaan.
Kennelijk is die aanname juist.
1) er bestaat namelijk geen wettelijke regeling hiervoor,
2) als het getest was, dan waren er nu geen problemen geweest.
Wie kan garanderen, dat met testen alles gevonden wordt. Die persoon kan goud verdienen.
18-12-2023, 20:49 door Anoniem
Door Anoniem: Misschien moet het wettelijk verplicht worden een boete te betalen per gelekt persoonsgegeven, dus € 50,- per naam, € 100,- per (email)adres, € 100,- per telefoonnummer, etc.. Misschien dat dan de bedrijven wakker worden en alleen de strikt noodzakelijk persoonsdata gaan bewaren. Want de bedrijven hebben er niet zoveel last van dat jou en mijn gegevens door ze worden gelekt.
Welke last heb jij ervan, niet theoretisch, maar werkelijk.
19-12-2023, 10:28 door Anoniem
Door Anoniem: Misschien moeten bedrijven wettelijk verplicht worden dit eerst te testen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
In dit geval denk ik dat men tijdens de ontwerpfase al een paar rekensommetjes had moeten maken. Er valt op basis van aantal mogelijkheden, aantal passagiers en hoe lang zo'n link actief is simpelweg uit te rekenen hoe groot de trefkans is als een aanvaller codes gaat uitproberen.

Een test voorafgaand aan ingebruikname had dit trouwens alleen maar opgespoord als in de testomgeving de volumes (aantallen passagiers en SMS-berichten) overeenkomen met de werkelijkheid. Vaak wordt met kleinere volumes getest. Een rekensommetje is veel simpeler en doeltreffender dan een testomgeving opzetten en proefondervindelijk ontdekken wat ook te berekenen valt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.