rhialto: Me under a waterfall (Default)
[personal profile] rhialto

First, my initial email which is very similar to what I previously wrote on my Dreamwidth/Livejournal.
From: Olaf Seibert
Sent: dinsdag 19 augustus 2014 20:54
To: Xxxxxxx, R (SPLAV) - KLM
Subject: Superslechte beveiliging persoonsgegevens op klm.com

Beste heer Xxxxxxx,

ik heb via cert@ncsc.nl (het Nationaal Cyber Security Centrum) uw
emailadres doorgekregen. Dit in verband met het volgende, waarover ik me
ergstige zorgen maak.

De beveiliging van persoonsgegevens (inklusief paspoortnummers!) op de
klm.com website is zwaar onder de maat. Men kan als "wachtwoord" alleen
een PIN opgeven van maximaal 6 cijfers...

Men kan het zelf uitproberen door te beginnen op klm.com en dan
rechtsboven "Inschrijven" te kiezen, en daarna de linker "Inschrijven"
onder "Deelname aan Flying Blue". Op het formulier dat men dan krijgt
staat onder meer

"Beveilig uw account / Om in te loggen bij Flying Blue heeft u een
persoonlijke code nodig.  Maak een 4-cijferige pincode aan. "

en inderdaad, alleen cijfers worden goedgekeurd...

Daar waar wachtwoorden met minimaal 8 tekens met hoofdletters, kleine
letters, cijfers EN leestekens er in tegenwoordig als absoluut minimum
worden beschouwd, kan je hier niet meer dan 6 cijfers opgeven, en erger
nog, ze adviseren 4!. Dat komt overeen met een wachtwoord van ongeveer 2
letters...

Op de website worden al je geboekte vluchten bijgehouden, en je kan ze
wijzigen (als je nog niet geweest zijn). Als je betaald hebt met een
creditcard worden alle gegevens vast ook bewaard (gelukkig had ik dat
niet gedaan). Voor sommige landen moet je vooraf je paspoortgegevens
doorgeven: die staan er ook.

Ik heb geprobeerd dit te melden bij de klantenservice, via verschillende
kanalen, maar ze vinden dat er niks mis is met de beveiliging.

Het verwarrende is dat wanneer men op bijna dezelfde manier een
"klm.com" login maakt, er wel gewoon een wachtwoord mogelijk is.

Omdat ik een vlucht bij de KLM had geboekt, had ik daardoor min or meer
vanzelf eerst een klm.com login, met wachtwoord. Vervolgens besloot ik
om me ook in te schrijven voor Flying Blue, en toen bleek mijn
wachtwoord opeens niet meer te werken voor de inlogprocedure. Het is ook
verwarrend dat kennelijk voor beide logins hetzelfde inlogformulier
wordt gebruikt, en dat daarbij de Flying Blue PIN-code voorrang heeft
gekregen.

Ik zou dus graag verbeterd zien dat er voor Flying Blue logins ook
gewoon wachtwoorden mogelijk zijn, en niet alleen cijfers. Er moet
natuurlijk ook geen lengtebeperking op zo'n wachtwoord zitten. Het lijkt
me ook verstandig als vervolgens alle Flying Blue-leden op de verbeterde
beveiliging worden gewezen, zodat ze snel de kans krijgen een wachtwoord
in te stellen.

(Een andere versie hiervan: http://rhialto.dreamwidth.org/72783.html)

Met vriendelijke groet,
-Olaf Seibert.
Some time passed... apart from a receipt nothing happens. I decide to push a bit for a reply.
From: Olaf Seibert
Sent: vrijdag 3 oktober 2014 15:16
To: Xxxxxxx, R (SPLAV) - KLM
Cc: 'Olaf Seibert'
Subject: Re: Superslechte beveiliging persoonsgegevens op klm.com

Geachte heer Xxxxxxx,

On Thu 21 Aug 2014 at 15:27:32 +0000, Xxxxxxx, R (SPLAV) - KLM wrote:
> Geachte heer Seibert,
> 
> Hartelijk dank voor uw bericht.
> Wij zullen uw aanmerkingen zorgvuldig bestuderen.

Hartelijk dank uw aandacht voor het door mij aangedragen
veiligheidsprobleem. Is er al iets te melden over de voortgang op dit
vlak? Is er iets dat een aanpassing tegenhoudt? Als ik op de klm.com
website kijk, dan kan ik nog geen wijziging waarnemen.

Met vriendelijke groet,
-Olaf Seibert.
Then finally, more than two months after my initial mail, comes this infuriating non-reply. "Your privacy is very important to us." Well, you know what it means when some company writes that.
On Tue 28 Oct 2014 at 08:37:11 +0000, Xxxxxxx, R (SPLAV) - KLM wrote:

Geachte heer Seibert,
 
Voor KLM is security heel belangrijk ten aanzien van de privacy van onze
passagiers. KLM kijkt continu naar mogelijkheden om de security te
verbeteren danwel aan te passen. Aan de Flying Blue log-in met pincode
is blokkering na 3 pogingen verbonden. De pincode kan alleen worden
gereset door het beantwoorden van veiligheidsvragen.
 
Kind regards, 
 
Mxxxxx Xxxx 
Integrity Assistant to Rxx Xxxxxxx 
KLM Security Services, SPL/AV
Tel. (31) (0)20-xxxxxxx
I decide to be "a bit" more explicit in my reply. It is impossible that a large company could be so stupid, but what other conclusion can I draw? They really really have to fix this!
Date: Thu, 6 Nov 2014 20:48:44 +0100                                            
From: Rhialto
To: "Xxxxxxx, R (SPLAV) - KLM"
Subject: Re: FW: Superslechte beveiliging persoonsgegevens op klm.com           

Geachte heer Xxxxxxx,

het antwoord van uw Integrity Assistant vind ik buitengewoon
teleurstellend. Ik zou het zelfs haast minachtend kunnen noemen ten
opzichte van iedereen die iets van netwerkveiligheid afweet. Ik kan hier
geen genoegen mee nemen.

Heeft u nooit gehoord van scenarios met off-line attacks op
wachtwoorden? De laatste tijd liggen gehashte password-databases met de
regelmaat van de klok op straat. Een "PIN-code" met maar 1.000.000
mogelijkheden (terwijl de website zelfs suggereert maar 4 cijfers, ofwel
10.000 mogelijkheden te gebruiken) is domweg lachwekkend in zo'n
scenario -- zoiets wordt in een fraktie van een sekonde gekraakt. Hashen
is daardoor zelfs haast zinloos te noemen.

Ook is het beslist niet ondenkbaar dat er on-line aanvallen zijn waarbij
de begrenzingen op 3 pogingen met sukses worden omzeild. Hierop
vertrouwen is niet verstandig.

Sterker nog, vanwege deze 'cavalier attitude' ten opzichte van de
veiligheid, en de kennelijke inkompetentie die er van af straalt,  zou
je je gaan afvragen of de KLM zelfs maar de moeite genomen heeft om de
PIN-codes te hashen.

En toch, voor een "KLM-account" is er wel gewoon een wachtwoord. Het is
dus niet zo dat KLM écht nog nooit van wachtwoorden heeft gehoord. En
dat de bovengeschetste scenarios écht nieuw voor u zouden zijn komt me
ook ongeloofwaardig voor. Hier is iets erg vreemds aan de hand. 

Ik beraad mij op verdere stappen.

Met vriendelijke groet,
-Olaf Seibert.
From:
Anonymous (will be screened)
OpenID (will be screened if not validated)
Identity URL: 
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

If you are unable to use this captcha for any reason, please contact us by email at support@dreamwidth.org


 
Notice: This account is set to log the IP addresses of people who comment anonymously.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

rhialto: Me under a waterfall (Default)
rhialto

December 2016

S M T W T F S
    123
45678910
11121314151617
1819202122 2324
25262728293031

Style Credit

Expand Cut Tags

No cut tags
Powered by Dreamwidth Studios