![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
rhialtoFirst, my initial email which is very similar to what I previously wrote on my Dreamwidth/Livejournal.
From: Olaf Seibert Sent: dinsdag 19 augustus 2014 20:54 To: Xxxxxxx, R (SPLAV) - KLM Subject: Superslechte beveiliging persoonsgegevens op klm.com Beste heer Xxxxxxx, ik heb via cert@ncsc.nl (het Nationaal Cyber Security Centrum) uw emailadres doorgekregen. Dit in verband met het volgende, waarover ik me ergstige zorgen maak. De beveiliging van persoonsgegevens (inklusief paspoortnummers!) op de klm.com website is zwaar onder de maat. Men kan als "wachtwoord" alleen een PIN opgeven van maximaal 6 cijfers... Men kan het zelf uitproberen door te beginnen op klm.com en dan rechtsboven "Inschrijven" te kiezen, en daarna de linker "Inschrijven" onder "Deelname aan Flying Blue". Op het formulier dat men dan krijgt staat onder meer "Beveilig uw account / Om in te loggen bij Flying Blue heeft u een persoonlijke code nodig. Maak een 4-cijferige pincode aan. " en inderdaad, alleen cijfers worden goedgekeurd... Daar waar wachtwoorden met minimaal 8 tekens met hoofdletters, kleine letters, cijfers EN leestekens er in tegenwoordig als absoluut minimum worden beschouwd, kan je hier niet meer dan 6 cijfers opgeven, en erger nog, ze adviseren 4!. Dat komt overeen met een wachtwoord van ongeveer 2 letters... Op de website worden al je geboekte vluchten bijgehouden, en je kan ze wijzigen (als je nog niet geweest zijn). Als je betaald hebt met een creditcard worden alle gegevens vast ook bewaard (gelukkig had ik dat niet gedaan). Voor sommige landen moet je vooraf je paspoortgegevens doorgeven: die staan er ook. Ik heb geprobeerd dit te melden bij de klantenservice, via verschillende kanalen, maar ze vinden dat er niks mis is met de beveiliging. Het verwarrende is dat wanneer men op bijna dezelfde manier een "klm.com" login maakt, er wel gewoon een wachtwoord mogelijk is. Omdat ik een vlucht bij de KLM had geboekt, had ik daardoor min or meer vanzelf eerst een klm.com login, met wachtwoord. Vervolgens besloot ik om me ook in te schrijven voor Flying Blue, en toen bleek mijn wachtwoord opeens niet meer te werken voor de inlogprocedure. Het is ook verwarrend dat kennelijk voor beide logins hetzelfde inlogformulier wordt gebruikt, en dat daarbij de Flying Blue PIN-code voorrang heeft gekregen. Ik zou dus graag verbeterd zien dat er voor Flying Blue logins ook gewoon wachtwoorden mogelijk zijn, en niet alleen cijfers. Er moet natuurlijk ook geen lengtebeperking op zo'n wachtwoord zitten. Het lijkt me ook verstandig als vervolgens alle Flying Blue-leden op de verbeterde beveiliging worden gewezen, zodat ze snel de kans krijgen een wachtwoord in te stellen. (Een andere versie hiervan: http://rhialto.dreamwidth.org/72783.html) Met vriendelijke groet, -Olaf Seibert.
From: Olaf Seibert Sent: vrijdag 3 oktober 2014 15:16 To: Xxxxxxx, R (SPLAV) - KLM Cc: 'Olaf Seibert' Subject: Re: Superslechte beveiliging persoonsgegevens op klm.com Geachte heer Xxxxxxx, On Thu 21 Aug 2014 at 15:27:32 +0000, Xxxxxxx, R (SPLAV) - KLM wrote: > Geachte heer Seibert, > > Hartelijk dank voor uw bericht. > Wij zullen uw aanmerkingen zorgvuldig bestuderen. Hartelijk dank uw aandacht voor het door mij aangedragen veiligheidsprobleem. Is er al iets te melden over de voortgang op dit vlak? Is er iets dat een aanpassing tegenhoudt? Als ik op de klm.com website kijk, dan kan ik nog geen wijziging waarnemen. Met vriendelijke groet, -Olaf Seibert.
On Tue 28 Oct 2014 at 08:37:11 +0000, Xxxxxxx, R (SPLAV) - KLM wrote:
Geachte heer Seibert, Voor KLM is security heel belangrijk ten aanzien van de privacy van onze passagiers. KLM kijkt continu naar mogelijkheden om de security te verbeteren danwel aan te passen. Aan de Flying Blue log-in met pincode is blokkering na 3 pogingen verbonden. De pincode kan alleen worden gereset door het beantwoorden van veiligheidsvragen. Kind regards, Mxxxxx Xxxx Integrity Assistant to Rxx Xxxxxxx KLM Security Services, SPL/AV Tel. (31) (0)20-xxxxxxx
Date: Thu, 6 Nov 2014 20:48:44 +0100 From: Rhialto To: "Xxxxxxx, R (SPLAV) - KLM" Subject: Re: FW: Superslechte beveiliging persoonsgegevens op klm.com Geachte heer Xxxxxxx, het antwoord van uw Integrity Assistant vind ik buitengewoon teleurstellend. Ik zou het zelfs haast minachtend kunnen noemen ten opzichte van iedereen die iets van netwerkveiligheid afweet. Ik kan hier geen genoegen mee nemen. Heeft u nooit gehoord van scenarios met off-line attacks op wachtwoorden? De laatste tijd liggen gehashte password-databases met de regelmaat van de klok op straat. Een "PIN-code" met maar 1.000.000 mogelijkheden (terwijl de website zelfs suggereert maar 4 cijfers, ofwel 10.000 mogelijkheden te gebruiken) is domweg lachwekkend in zo'n scenario -- zoiets wordt in een fraktie van een sekonde gekraakt. Hashen is daardoor zelfs haast zinloos te noemen. Ook is het beslist niet ondenkbaar dat er on-line aanvallen zijn waarbij de begrenzingen op 3 pogingen met sukses worden omzeild. Hierop vertrouwen is niet verstandig. Sterker nog, vanwege deze 'cavalier attitude' ten opzichte van de veiligheid, en de kennelijke inkompetentie die er van af straalt, zou je je gaan afvragen of de KLM zelfs maar de moeite genomen heeft om de PIN-codes te hashen. En toch, voor een "KLM-account" is er wel gewoon een wachtwoord. Het is dus niet zo dat KLM écht nog nooit van wachtwoorden heeft gehoord. En dat de bovengeschetste scenarios écht nieuw voor u zouden zijn komt me ook ongeloofwaardig voor. Hier is iets erg vreemds aan de hand. Ik beraad mij op verdere stappen. Met vriendelijke groet, -Olaf Seibert.
