Les données privées des clients de KLM n’étaient pas correctement protégées contre les personnes non autorisées, selon une étude menée par NOS. Cela concerne des données telles que : les numéros de téléphone, les adresses e-mail et dans certains cas même les données du passeport. La violation de données concernait également les données de la société sœur Air France.
Les données pourraient être récupérées à l’aide d’un script automatisé, ce qui signifie que les informations sont téléchargées sans contourner la sécurité. Le SAI et le chercheur en sécurité Benjamin Broersma a trouvé en quelques heures plus de 900 liens fonctionnels qui, outre les informations de vol, contenaient également des données privées.
L’erreur résidait dans le lien hypertexte contenant les informations de vol que les clients de KLM recevaient par SMS. Il s’agissait de liens très courts comportant six caractères, afin qu’ils s’intègrent facilement dans le message. Cependant, ils se sont avérés si courts qu’ils n’étaient pas assez uniques. Cela permettait à une personne malveillante d’essayer facilement de nombreux liens.
Combien de clients ?
Selon NOS, l’entreprise ne souhaite pas dire combien de clients étaient susceptibles d’être victimes de la fuite. Il est devenu évident que toutes les 100 à 200 tentatives produisaient un lien valide, ce qui signifie que de nombreuses données client étaient accessibles à la fuite.
KLM a résolu le problème en quelques heures après avoir été informé par NOS vendredi après-midi.