Privégegevens van mensen die via KLM en Air France reisden, zoals telefoonnummers en e-mailadressen en in sommige gevallen ook paspoortgegevens, waren eenvoudig voor onbevoegden te achterhalen, zo stelt de NOS op basis van eigen onderzoek. Het datalek werd veroorzaakt door de links met vluchtinformatie die de luchtvaartmaatschappijen via sms naar passagiers stuurden.
De links bestonden uit zes tekens om in een sms te passen. Daarbij was er verder geen authenticatie vereist om de gelinkte vluchtinformatie te bekijken, waardoor een aanvaller kon proberen om geldig tekencombinaties via een script te achterhalen. Van elke honderd tot tweehonderd adressen die automatisch waren te proberen was er dan één geldig. Uit het onderzoek bleek dat de codes te kort waren en er te veel werkende codes waren.
Na te zijn ingelicht op vrijdagmiddag werd het probleem bij zowel KLM als Air France binnen een paar uur verholpen. De sms-links die de luchtvaartmaatschappijen nu versturen verplicht dat passagiers eerst op de Mijn Reis-omgeving van de website van KLM of Air France inloggen. Van hoeveel mensen de gegevens zijn gelekt wil KLM niet zeggen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.