KLM is geraakt door een lek van persoonsgegevens. Volgens de luchtvaartmaatschappij is er iets misgegaan bij een extern platform dat KLM gebruikt voor zijn klantenservice. Het lek lijkt deel van een bredere trend.
Ook andere bedrijven zouden door het lek zijn getroffen. Volgens KLM is samen met de betrokken externe partij direct actie ondernomen om ongeautoriseerde toegang te stoppen. De interne systemen van KLM en zustermaatschappij Air France zijn niet geraakt. Er zijn volgens KLM ook geen gevoelige gegevens zoals wachtwoorden, reisgegevens, Flying Blue-miles, paspoort- of creditcardgegevens gestolen.
Wel kunnen de namen van klanten, hun contactgegevens en Flying Blue-nummer in verkeerde handen zijn gekomen. Ook zouden de onderwerpen van e-mails met serviceverzoeken en opmerkingen die klantenservicemedewerkers hebben gemaakt kunnen zijn ingezien door cybercriminelen.
Bredere trend
Hoeveel klanten slachtoffer zijn geworden van het lek is onduidelijk. Daarover kon een woordvoerster van KLM desgevraagd nog geen uitspraken doen aan ANP. Het bedrijf heeft ook melding gedaan bij de Nederlandse Autoriteit Persoonsgegevens. Om ‘veiligheidsredenen’ wil de maatschappij verder niet zeggen om welk extern platform het precies gaat.
Wel valt op dat meerdere bedrijven de voorbije weken en maanden datalekken hadden bij hun externe partner. Gisteren moest juwelenketen Pandora nog toegeven dat er persoonsgegevens werden gelekt. Securitysite BleepingComputer schreef dat lek toe aan een campagne van de groep ShinyHunters, die via phishing proberen binnen te komen op de Salesforce-platformen van verschillende bedrijven.
De groep zegt aan Bleeping Computer dat ze onder meer cloudbedrijf Snowflake op deze manier wisten te raken. Andere bedrijven die impact van dit soort aanval ondervonden zijn Adidas, Qantas, Allianz Life, Louis Vuitton, Dior en Tiffany & Co. Het gaat hierbij om een social engineering campagne, en dus niet om een securitylek bij Salesforce zelf. ShinyHunters zegt wel aan BleepingComputer dat de campagne nog volop loopt, dus bedrijven doen er best aan om ervoor te zorgen dat hun accounts op Salesforce goed beveiligd zijn, en dat medewerkers op de hoogte zijn van de mogelijkheden tot phishing.
Juwelier Pandora meldt datalek