KLM과 에어프랑스의 보안 침해에 대한 비판: 고객 데이터를 쉽게 가로챌 수 있음

(자레테라/Shutterstock.com)

KLM은 최근 고객 데이터 보안에 문제를 겪었습니다. NOS의 조사에 따르면 전화번호, 이메일 주소, 때로는 여권 정보와 같은 고객의 개인 정보가 허가를 받지 않은 사람들에 의해 쉽게 수집될 수 있는 것으로 나타났습니다. 이 문제는 KLM 고객뿐만 아니라 에어 프랑스 고객에게도 영향을 미쳤습니다.

이러한 누출이 발견된 이유는 특수한 스크립트를 사용하면 데이터를 쉽게 수집할 수 있기 때문입니다. 이런 방식으로 짧은 시간에 900개 이상의 활성 링크를 찾을 수 있었으며, 여기에는 개인 정보가 포함된 경우도 많았습니다. 이러한 유형의 데이터는 가짜 여행 서류를 만들거나 표적 피싱 공격을 하는 등 오용될 수 있습니다.

이번 유출의 원인 중 하나는 KLM 문자 메시지의 하이퍼링크가 매우 짧아서 추측하기가 더 쉽기 때문이었습니다. 링크를 무작위로 입력함으로써 해커는 결국 유효한 링크에 액세스할 수 있습니다.

한 보안 연구원은 코드가 너무 짧고 유통되는 작업 코드가 너무 많다고 지적했습니다. KLM은 NOS로부터 통보를 받은 후 이 문제를 신속하게 해결했습니다. 이제 고객이 링크를 사용하려면 먼저 KLM 또는 에어 프랑스의 My Travel 환경에 로그인해야 합니다.

이번 침해로 인해 얼마나 많은 고객이 위험에 처했는지는 확실하지 않습니다. KLM은 유효한 링크가 얼마나 자주 발견되는지에 대한 계산에 대해서는 언급하지 않았습니다. 회사는 승객의 개인 정보를 중요하게 생각하며 고급 보안 정책을 가지고 있음을 강조합니다.

또 다른 보안 전문가는 이 문제가 KLM의 부주의로 인한 것이라고 지적합니다. KLM은 조사로 인해 시스템이 경보를 울렸다고 주장하지만 이전에 유출이 악용되었는지 여부는 불분명합니다.

개인 정보 보호 자문가에 따르면 남용 여부를 판단하기가 어렵고 회사가 이에 대해 항상 투명하지는 않다고 합니다. KLM은 누출의 다른 오용을 배제할 수 있는 방법에 대한 자세한 내용을 제공하지 않았습니다.

출처: NOS