低级错误！荷航被曝出涉嫌泄露乘客个人数据，包括护照等信息

据荷兰媒体NOS报道，经调查发现，荷兰皇家航空公司KLM被曝出涉嫌数据泄露，泄露的数据包括客户的电话号码、电子邮件地址，甚至还包括护照信息；此外这次数据泄露还影响了法国航空公司的客户。

安全研究人员Benjamin Broersma表示，使用自动脚本，攻击者可以轻松地“抓取”这些信息。



如果确实存在护照信息的话，网络犯罪分子可以使用这些信息来制作假旅行文件；电子邮件地址和电话号码也可以被滥用，例如用于针对KLM客户的高度针对性的网络钓鱼攻击。此外，还有修改和删除护照及签证信息的可能性。

该数据泄露事件的根源在于KLM通过短信发送给客户的航班信息超链接。这些超链接只有六个字符长，因此很容易在短信中放下。"它们太短了，不够唯一，网络犯罪分子可以大规模尝试访问链接，每100到200个地址中就有一个有效。"

KLM随后对此回应表示，这一问题已经修复。该公司在一份书面声明中表示：“我们的IT部门立即采取了必要措施来解决此问题。现在，要点击链接，您必须先在KLM或Air France网站的'我的旅程'区域登录，通过这种方式，情况又变得安全和正常了。”

KLM拒绝透露有多少客户受到了数据泄露的影响。然而，由于每100到200次尝试中就有一次会产生有效的链接，这意味着KLM和Air France的数百万甚至数千万客户的航班链接可能都是可访问的，但是并非所有带有航班信息的链接都包含私人信息，所以无法验证这是否经常发生。

KLM表示不愿对这种“假设的计算”发表评论。该公司表示：“如前所述，我们非常重视乘客的隐私，并在此方面实施了非常先进的安全政策。”

发言人也表示不想解释如何排除其他滥用泄密事件的可能性。“我们无法与您分享我们的安全政策和措施的详细信息。”

信息来源：nos.nl