Privégegevens van KLM-klanten, waaronder telefoonnummers, e-mailadressen en in sommige gevallen ook paspoortgegevens, waren eenvoudig binnen te halen door onbevoegden. Dat blijkt uit onderzoek van de NOS. Het datalek betrof ook klanten van zustermaatschappij Air France.

Met een geautomatiseerd script konden de gegevens eenvoudig worden gescrapet: dat betekent dat informatie kan worden gedownload zonder dat er daadwerkelijk beveiliging hoeft te worden omzeild. In een paar uur tijd vonden de NOS en beveiligingsonderzoeker Benjamin Broersma samen ruim 900 werkende links waarachter naast vluchtinformatie dus vaak ook privégegevens te zien waren.

Die informatie zouden internetcriminelen kunnen gebruiken om valse reisdocumenten uit te geven, als er inderdaad paspoortgegevens aanwezig waren. Maar ook een e-mailadres en telefoonnummer kan worden misbruikt, bijvoorbeeld voor zeer gerichte phishing naar KLM-klanten.

Ook was er de mogelijkheid om paspoort- en visuminformatie te bewerken en te verwijderen; of dat succesvol had gekund, heeft de NOS niet getest. KLM wil niet zeggen of dat kon.

Link met vluchtinformatie

De fout zat in de hyperlink met vluchtinformatie die KLM-klanten via sms kregen toegestuurd. Dat waren extra korte links met zes tekens, zodat ze makkelijk in een sms passen. Ze blijken echter zo kort, dat ze niet uniek genoeg waren. Een kwaadwillende kon op grote schaal proberen links te raadplegen; van elke 100 tot 200 adressen die geautomatiseerd worden ingevoerd, was er dan één geldig.

“Er gingen eigenlijk twee dingen mis: de codes waren te kort, en er waren te veel werkende codes”, zegt Broersma.

KLM heeft het probleem, na vrijdagmiddag te zijn ingelicht door de NOS, binnen een paar uur verholpen. “Onze IT-afdeling heeft onmiddellijk de nodige maatregelen genomen om dit te verhelpen”, laat het bedrijf weten in een schriftelijke verklaring. “Wie nu op de link klikt, moet eerst inloggen in de Mijn Reis-omgeving van de website van KLM of Air France. De situatie is hierdoor weer veilig en normaal.”

100 tot 200 pogingen

Hoeveel klanten vatbaar waren voor het lek, wil het bedrijf niet zeggen. Dat elke 100 tot 200 pogingen echter een geldige link opleverde, betekent dat de vluchtlinks van miljoenen tot tientallen miljoenen klanten toegankelijk moeten zijn geweest. Niet alle links met vluchtinformatie bevatten privégegevens; de NOS heeft niet kunnen verifiëren hoe vaak dat zo was.

KLM zegt niet te willen reageren op deze “hypothetische berekening”. “Zoals eerder aangegeven nemen wij de privacy van onze passagiers serieus en voeren hierin een zeer geavanceerd veiligheidsbeleid”, laat het bedrijf weten.

“Een geavanceerd beveiligingsbeleid houdt blijkbaar in dat je een half procent kans op succes hebt”, zegt beveiligingsexpert Bert Hubert, tot vorig jaar toezichthouder op de inlichtingendiensten.

Volgens Hubert heeft er “iemand liggen slapen” bij KLM. “Zes tekens is gewoon echt niet genoeg, ze hadden er ook acht of negen van kunnen maken.” Een verschil van zes of acht tekens maakt voor het kunnen raden enorm veel uit: bij zes tekens zijn er in dit geval 57 miljard combinaties, bij acht tekens meer dan 200 biljoen.

Verdachte activiteiten

Of het lek is misbruikt, is onbekend. KLM tekent aan dat het systeem al alarm sloeg door de “grote hoeveelheid verdachte activiteiten” die door het onderzoek van de NOS en Broersma werd veroorzaakt. Sindsdien “was er een team bezig met het nemen van de nodige veiligheidsmaatregelen. Dit toont aan dat het systeem werkt en verdere toegang niet mogelijk was”, aldus de vliegmaatschappij.

“Maar dat ze jullie hebben gezien, wil niets zeggen over wat anderen hebben gedaan”, zegt Jaap-Henk Hoepman, hoofddocent computerbeveiliging bij de Radboud Universiteit. De NOS deed geen moeite om onder de radar te blijven; kwaadwillenden zouden dat wel kunnen doen, bijvoorbeeld door elke paar seconden van IP-adres te wisselen. Bovendien duurde het in dit geval alsnog ruim vijf uur voordat KLM de IP-adressen blokkeerde waar de verdachte activiteit vandaan kwam.

Achteraf is vaak moeilijk vast te stellen of sprake is van misbruik, zegt ook privacy-adviseur Floor Terra van Privacy Company. “Maar soms kunnen bedrijven dat wel heel goed. Dat is voor de buitenwereld vaak lastig in te schatten.” In de ervaring van Terra zijn bedrijven daar niet altijd eerlijk over.

KLM wil niet uitleggen hoe het ander misbruik van het lek kan uitsluiten. “De invulling van ons veiligheidsbeleid en maatregelen kunnen we niet met je delen.”

Verantwoording

Voor dit verhaal vroegen de NOS en beveiligingsonderzoeker Benjamin Broersma geautomatiseerd links naar de KLM-website op, met mogelijk geldige codes van KLM-klanten. Dat deden we om te testen of er sprake was van een beveiligingsprobleem. Toen dat zo bleek te zijn, heeft de NOS KLM ingelicht.

KLM wilde – ondanks herhaaldelijke verzoeken van de NOS – niet aangeven voor hoeveel klanten geldige links bestonden, die daarmee dus vatbaar waren voor het beveiligingsprobleem. Het bedrijf geeft enkel aan dat de links maar naar een ‘klein percentage’ van de klanten zijn verstuurd, zonder dat percentage te noemen. Dat zegt bovendien niets over het aantal links dat werkte, maar niet actief is verzonden. Daarom heeft de NOS zelf de omvang van het beveiligingsprobleem proberen in te schatten.

Circa 0,5 tot 1,5 procent van de geprobeerde links bleek uiteindelijk te werken. Omdat links in ieder geval uit hoofdletters, kleine letters en cijfers konden bestaan, zijn er op zijn minst 56,8 miljard combinaties mogelijk. Als volgens de meest conservatieve schatting 0,5 procent juist blijkt, zijn dat 284 miljoen juiste combinaties.