(Jarretera / Shutterstock.com)
La compagnie aérienne KLM a récemment été confrontée à un problème de sécurité des données de ses clients. Des enquêtes menées par NOS (télévision néerlandaise) ont révélé que les informations personnelles des clients, telles que les numéros de téléphone, les adresses électroniques et parfois même les détails du passeport, pouvaient être facilement collectées par des personnes qui n'en avaient pas l'autorisation. Ce problème a touché non seulement les clients de KLM, mais aussi ceux d'Air France.
La fuite a été découverte grâce à l'utilisation d'un script spécial permettant de collecter facilement des données. En peu de temps, plus de 900 liens actifs ont pu être trouvés, contenant souvent des informations personnelles. Ce type de données pourrait être utilisé à mauvais escient, par exemple pour créer de faux documents de voyage ou des attaques de phishing ciblées.
L'une des raisons de cette fuite est que les liens hypertextes dans les messages SMS de KLM étaient très courts, ce qui les rendait plus faciles à deviner. Un pirate pouvait éventuellement accéder à des liens valides en saisissant des liens au hasard.
Un chercheur en sécurité a noté que les codes étaient trop courts et qu'il y avait trop de codes fonctionnels en circulation. KLM a rapidement corrigé le problème après avoir été informée par NOS. Désormais, les clients doivent d'abord se connecter à l'environnement My Trip de KLM ou d'Air France pour utiliser les liens.
On ne sait pas exactement combien de clients ont été menacés par cette fuite. KLM n'a pas commenté les calculs sur la fréquence à laquelle un lien valide pouvait être trouvé. La compagnie a souligné qu'elle prenait au sérieux la protection de la vie privée de ses passagers et qu'elle avait mis en place des politiques de sécurité avancées.
Selon un autre expert en sécurité, le problème est dû à un manque de diligence de la part de KLM. Bien que KLM affirme que ses systèmes ont tiré la sonnette d'alarme à la suite de l'enquête, il n'est pas certain que la fuite ait été exploitée auparavant.
Selon un conseiller en protection de la vie privée, il est souvent difficile de déterminer s'il y a eu abus et les entreprises ne sont pas toujours transparentes à ce sujet. KLM n'a pas fourni d'autres détails sur la manière d'exclure toute autre utilisation abusive de la fuite.
Source : NOS via https://www.thailandblog.nl/vliegticket ... rscheppen/