Datalek bij Corendon Vliegvakanties
Bij het boeken van een reis via de website van Corendon Vliegvakanties ontvangt u een klantnummer en een boekingsnummer. Op de pagina Mijn boeking / Betalen waren deze gegevens tot voor kort voldoende om in te loggen, waarna u van uw reis de bestemming, vertrekdatum, aankomstdatum, vluchtgegevens, prijs en het nog te betalen bedrag en van de deelnemers uit uw reis de namen, fysieke adressen, telefoonnummers en geboortedata kunt bekijken.
Klein probleempje: beide nummers blijken sequentieel te worden uitgegeven, wat te vermoeden was doordat ze bij elkaar in de buurt liggen en het boekingsnummer iets hoger ligt. Dat maakte mij nieuwsgierig naar of ik de gegevens van de laatste boeking voor de mijne kon inzien. Zie hier het resultaat:
- De inloggegevens van mijn eigen boeking:
- De geraden inloggegevens van andermans boeking:
- De privégegevens van andermans boeking die volstrekt niet in mijn bezit horen te komen:
Uiteraard was het mogelijk om de database verder door te nemen dan hierboven gedemonstreerd. Hiervoor kon de volgende procedure worden gebruikt:
- Bemachtig één geldige combinatie van klant- en boekingsnummer van een klant die direct na registratie geboekt heeft. De eenvoudigste manier om dit te doen, is zelf een reis te boeken, wat ik heb gedaan. Een andere manier is om geautomatiseerd alle mogelijke combinaties systematisch te proberen.
- Herhaal de volgende set stappen tot het begin van de nummering om de gegevens van eerdere boekingen te krijgen:
- Verlaag zowel het klantnummer als het boekingsnummer met één.
- Probeer in te loggen. Als het inloggen niet werkt, is dit boekingsnummer van een klant die eerder geregistreerd is dan dat deze boeking is gedaan. Voor de eenvoud slaan we dit soort boekingen over door het boekingsnummer verder te verlagen met stappen van één totdat het inloggen wel lukt. (Het is theoretisch natuurlijk wel mogelijk om geautomatiseerd alle mogelijk bijbehorende klantnummers te proberen.)
- De klant- en boekingsgegevens van deze boeking worden nu getoond.
- Doe de vorige set stappen nog een keer, maar verhoog nu telkens de klant- en boekingsnummers. Begin weer bij de combinatie uit de eerste stap. Hierdoor worden ook de gegevens van latere boekingen verkregen.
In verband met identiteitsfraude en woninginbraak was dit natuurlijk geen prettige situatie. Op 28 juni heb ik dit probleem aan Corendon gemeld. Op 7 juli heeft Corendon de website bewerkt zodat er nu ook naar het e-mailadres gevraagd wordt bij het inloggen, waardoor het opvragen van willekeurige boekingen niet meer mogelijk is. Op termijn wil Corendon een systeem met wachtwoorden invoeren.
Vermeldenswaardig is het tot slot nog dat GoMundo en Corendon België hetzelfde systeem voor de website gebruiken. Ook hier is het invoerveld voor het e-mailadres nieuw. Corendon bevestigt noch ontkent dat het datalek hier ook aanwezig was. Dit hangt er van af of ook deze sites sequentiële nummeringen gebruiken, wat in het geval van GoMundo erg waarschijnlijk is aangezien GoMundo dezelfde database als Coredon Nederland gebruikt, wat blijkt uit het feit dat ik er met Corendon-gegevens kan inloggen.
Dank gaat uit naar Rejo Zenger, die namens Bits of Freedom het Zwartboek Datalekken beheert, en Ot van Daalen, directeur van Bits of Freedom, voor hun hulp bij de communicatie met Corendon en media. Dit lek is in het Zwartboek opgenomen.