低级错误!荷航被曝出涉嫌泄露乘客个人数据,包括护照等信息
据荷兰媒体NOS报道,经调查发现,荷兰皇家航空公司KLM被曝出涉嫌数据泄露,泄露的数据包括客户的电话号码、电子邮件地址,甚至还包括护照信息;此外这次数据泄露还影响了法国航空公司的客户。安全研究人员Benjamin Broersma表示,使用自动脚本,攻击者可以轻松地“抓取”这些信息。
如果确实存在护照信息的话,网络犯罪分子可以使用这些信息来制作假旅行文件;电子邮件地址和电话号码也可以被滥用,例如用于针对KLM客户的高度针对性的网络钓鱼攻击。此外,还有修改和删除护照及签证信息的可能性。
该数据泄露事件的根源在于KLM通过短信发送给客户的航班信息超链接。这些超链接只有六个字符长,因此很容易在短信中放下。"它们太短了,不够唯一,网络犯罪分子可以大规模尝试访问链接,每100到200个地址中就有一个有效。"
KLM随后对此回应表示,这一问题已经修复。该公司在一份书面声明中表示:“我们的IT部门立即采取了必要措施来解决此问题。现在,要点击链接,您必须先在KLM或Air France网站的'我的旅程'区域登录,通过这种方式,情况又变得安全和正常了。”
KLM拒绝透露有多少客户受到了数据泄露的影响。然而,由于每100到200次尝试中就有一次会产生有效的链接,这意味着KLM和Air France的数百万甚至数千万客户的航班链接可能都是可访问的,但是并非所有带有航班信息的链接都包含私人信息,所以无法验证这是否经常发生。
KLM表示不愿对这种“假设的计算”发表评论。该公司表示:“如前所述,我们非常重视乘客的隐私,并在此方面实施了非常先进的安全政策。”
发言人也表示不想解释如何排除其他滥用泄密事件的可能性。“我们无法与您分享我们的安全政策和措施的详细信息。”
信息来源:nos.nl
页:
[1]