Privégegevens KLM-klanten waren eenvoudig te achterhalen

Door een fout in de beveiliging waren persoonsgegevens van KLM-klanten eenvoudig te achterhalen, zo blijkt uit onderzoek van de NOS. Het ging voor een groot deel om namen en e-mailadressen, maar in een klein aantal gevallen ook om paspoortgegevens, waaronder het nummer en de vervaldatum – samen genoeg om een vals document te maken om mee te reizen. Ook gegevens van klanten van zusterbedrijf Air France waren in te zien. Hoelang precies kan KLM niet zeggen, een woordvoerder spreekt van „enige tijd”.

De oorzaak van het lek bleek de sms-berichten die klanten krijgen met linkjes naar bijvoorbeeld hun vluchtgegevens, bevestigt KLM. De url’s in die sms’jes waren maximaal zes tekens lang, wat betekent dat het aantal combinaties relatief beperkt was en dus makkelijk geautomatiseerd te achterhalen door de gegevens te ‘scrapen’.

Hoeveel mensen precies zijn getroffen, zegt de luchtvaartmaatschappij niet. Aangezien elke honderd tot tweehonderd pogingen in het onderzoek een geldige link opleverde waarachter gegevens te zien waren, schat de NOS dat het om „vele klanten” gaat. KLM en Air France doen onderzoek naar de gevolgen van het incident en zeggen de Autoriteit Persoonsgegevens „uit voorzorg” over de situatie te hebben geïnformeerd. Ook de getroffen klanten krijgen bericht.

Eerder lek

In januari van dit jaar kregen KLM en Air France ook al te maken met een datalek, toen betrof het klanten van het Flying Blue-loyaliteitsprogramma. KLM verzekerde dat de hackers geen betaalgegevens hadden kunnen inzien, maar wel gegevens als telefoonnummers en e-mailadressen. Volgens een woordvoerder van KLM lag de oorzaak van deze hack in tegenstelling tot de huidige niet bij henzelf, maar werden klanten gehackt die „beheerprogramma’s van derden, waarin ze hun reizen kunnen loggen en mijlen kunnen bijhouden” gebruikten.



Leeslijst