Los datos privados de los clientes de KLM no estaban adecuadamente protegidos contra personas no autorizadas, según demostró una investigación de NOS. Se trata de datos como: números de teléfono, direcciones de correo electrónico y, en algunos casos, incluso datos del pasaporte. La filtración de datos también incluyó datos de la empresa hermana Air France.
Los datos podrían extraerse mediante un script automatizado, lo que significa que la información se descarga sin pasar por alto la seguridad. El NOS y el investigador de seguridad Benjamin Broersma encontró en pocas horas más de 900 enlaces funcionales que, además de la información del vuelo, también contenían datos privados.
El error estaba en el hipervínculo con información de vuelo que los clientes de KLM recibían mediante mensaje de texto. Se trataba de enlaces extracortos de seis caracteres, para que encajaran fácilmente en el mensaje. Sin embargo, resultaron ser tan cortos que no eran lo suficientemente únicos. Esto facilitó que una persona malintencionada probara muchos enlaces.
¿Cuantos clientes?
Según NOS, la empresa no quiere decir cuántos clientes fueron susceptibles a la fuga. Quedó claro que cada 100 a 200 intentos producían un enlace válido, lo que significa que la filtración podía acceder a muchos datos de los clientes.
KLM resolvió el problema pocas horas después de haber sido informado por NOS el viernes por la tarde.