KLM-klanten liepen risico doordat een geautomatiseerd script eenvoudig privégegevens kon verzamelen, inclusief telefoonnummers, e-mailadressen, en in sommige gevallen zelfs paspoortgegevens. Het datalek betrof niet alleen KLM-klanten, maar ook die van zustermaatschappij Air France, waardoor een bredere groep passagiers werd blootgesteld aan potentieel misbruik.
Internetcriminelen konden de gelekte informatie mogelijk gebruiken om valse reisdocumenten uit te geven, vooral als paspoortgegevens aanwezig waren.
Naast het risico op valse reisdocumenten bestond ook de dreiging van gerichte phishingaanvallen op KLM-klanten, aangezien e-mailadressen en telefoonnummers toegankelijk waren. Het was mogelijk om paspoort- en visuminformatie te bewerken en te verwijderen, hoewel de NOS niet heeft kunnen verifiëren of dit daadwerkelijk succesvol kon zijn.
De kwetsbaarheid lag in de te korte hyperlinks met vluchtinformatie die KLM-klanten via sms ontvingen, waardoor onbevoegden deze links eenvoudig konden achterhalen. Na melding door de NOS heeft KLM het probleem binnen enkele uren opgelost door passende maatregelen te nemen en de links te beveiligen.
KLM weigert details te geven over het aantal getroffen klanten, maar bevestigt dat elke 100 tot 200 pogingen een geldige link opleverde, wat wijst op een potentieel groot aantal toegankelijke vluchtlinks.
Bekijk voor meer informatie het NOS Artikel
