KLM en Air France lekten passagiersgegevens via te korte sms-links
Privégegevens van mensen die via KLM en Air France reisden, zoals telefoonnummers en e-mailadressen en in sommige gevallen ook paspoortgegevens, waren eenvoudig voor onbevoegden te achterhalen, zo stelt de NOS op basis van eigen onderzoek. Het datalek werd veroorzaakt door de links met vluchtinformatie die de luchtvaartmaatschappijen via sms naar passagiers stuurden.
De links bestonden uit zes tekens om in een sms te passen. Daarbij was er verder geen authenticatie vereist om de gelinkte vluchtinformatie te bekijken, waardoor een aanvaller kon proberen om geldig tekencombinaties via een script te achterhalen. Van elke honderd tot tweehonderd adressen die automatisch waren te proberen was er dan één geldig. Uit het onderzoek bleek dat de codes te kort waren en er te veel werkende codes waren.
Na te zijn ingelicht op vrijdagmiddag werd het probleem bij zowel KLM als Air France binnen een paar uur verholpen. De sms-links die de luchtvaartmaatschappijen nu versturen verplicht dat passagiers eerst op de Mijn Reis-omgeving van de website van KLM of Air France inloggen. Van hoeveel mensen de gegevens zijn gelekt wil KLM niet zeggen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Je doet de aanname dat dat niet is gedaan. Een whitehat hacker is geen garantie dat ook alles gevonden wordt, dagelijks genoeg voorbeelden.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
En wat als het getest is, maar deze 'lek' niet geconstateerd is? Grote bedrijven of mensen binnen deze organisaties denken 'test maar even' omdat zij het nut van testen niet zien. Totdat er zo'n lek in de media verschijnt en dan gaan ze strooien met geld om het op te lossen. Voorkomen in plaats van oplossen is het beste wat je kunt doen. Want nu hebben ze al imagoschade opgelopen.
Worden klanten waarvan, al dan niet, mogelijk de gegevens op straat zijn komen te liggen ook nog op de hoogte gesteld? Ik vlieg bijna nooit met KLM maar zou toch vervelend zijn als mijn gegevens op straat liggen voor die 2/3 keer dat ik ooit met KLM heb gevlogen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Leuk, maar het feit dat zoiets niet gevonden wordt, wil niet zeggen dat het er niet in zit. Al was deze wel erg makkelijk...
Buiten dat: er zijn in de EUSSR al veel en veel teveel 'regeltjes' en verplichtingen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Je doet de aanname dat dat niet is gedaan.
1) er bestaat namelijk geen wettelijke regeling hiervoor,
2) als het getest was, dan waren er nu geen problemen geweest.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Ze zijn al verplicht om persoonsgegevens te beveiligen naar de stand van de techniek. Dus...
Een pentest is geen garantie dat iedere vulnerability gevonden wordt maar haalt vaak wel het low hanging fruit eruit (waar ik dit onder schaar).
Ik verwacht dat een bedrijf als KLM echt wel pentesten uit laat voeren maar kan me zomaar voorstellen dat deze linkjes die per sms werden verstuurd niet in de scope van een pentest zijn opgenomen.
Hoe vaak zie je niet dat er een web applicatie getest wordt maar de bijbehorende API geheel buiten beschouwing gelaten wordt..
Hoeveel van dit soort links ook niet in referer data komen bij bijvoorbeeld CDN partijen.
Wetgeving dwingt inmiddels af dat je met 1 klik uitschreven moet kunnen worden van een nieuwsbrief. Met 2 klikken had je veel van dit soort fouten meteen kunnen voorkomen.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Welke regering gaat dit voor ons even regelen?
Je doet de aanname dat dat niet is gedaan.
1) er bestaat namelijk geen wettelijke regeling hiervoor,
2) als het getest was, dan waren er nu geen problemen geweest.
Dus voordat het online gaat, moeten whitehat hackers eerst nakijken of zulke links wel voldoende veilig zijn.
Een test voorafgaand aan ingebruikname had dit trouwens alleen maar opgespoord als in de testomgeving de volumes (aantallen passagiers en SMS-berichten) overeenkomen met de werkelijkheid. Vaak wordt met kleinere volumes getest. Een rekensommetje is veel simpeler en doeltreffender dan een testomgeving opzetten en proefondervindelijk ontdekken wat ook te berekenen valt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.