Kritika kršitve varnosti pri KLM in Air France: podatke o strankah je enostavno prestreči

(Jarretera / Shutterstock.com)

KLM je pred kratkim imel težave z varnostjo podatkov strank. Raziskava NOS je pokazala, da lahko osebne podatke strank, kot so telefonske številke, e-poštni naslovi in ​​včasih celo podatki o potnih listih, zlahka zbirajo ljudje, ki za to niso imeli dovoljenja. Ta težava ni prizadela le strank KLM, ampak tudi Air France.

Puščanje je bilo odkrito, ker je bilo mogoče podatke zlahka zbrati s posebnim skriptom. Na ta način je bilo v kratkem času mogoče najti več kot 900 aktivnih povezav, ki pogosto vsebujejo osebne podatke. To vrsto podatkov je mogoče zlorabiti, na primer za ustvarjanje ponarejenih potnih listin ali ciljno usmerjenih lažnih napadov.

Eden od vzrokov za to uhajanje je bil, da so bile hiperpovezave v besedilnih sporočilih KLM zelo kratke, zaradi česar jih je bilo lažje uganiti. Z naključnim vnosom povezav bi lahko heker sčasoma pridobil dostop do veljavnih povezav.

Varnostni raziskovalec je ugotovil, da so bile kode prekratke in da je bilo v obtoku preveč delujočih kod. KLM je to težavo hitro rešil, potem ko ga je obvestil NOS. Za uporabo povezav se morajo stranke zdaj najprej prijaviti v okolje My Travel pri KLM ali Air France.

Ni jasno, koliko strank je bilo ogroženih zaradi te kršitve. KLM ni komentiral izračunov o tem, kako pogosto je mogoče najti veljavno povezavo. V družbi poudarjajo, da jemljejo zasebnost svojih potnikov resno in imajo napredno varnostno politiko.

Drugi varnostni strokovnjak navaja, da je težava posledica pomanjkanja pozornosti s strani KLM. Čeprav KLM trdi, da so njihovi sistemi sprožili alarm zaradi preiskave, ostaja nejasno, ali je bilo uhajanje izkoriščeno že prej.

Po mnenju svetovalca za zasebnost je pogosto težko ugotoviti, ali gre za zlorabo, in da podjetja glede tega niso vedno transparentna. KLM ni zagotovil dodatnih podrobnosti o tem, kako lahko izključijo druge zlorabe uhajanja.

Vir: NOS