AMSTERDAM - De websites van onder meer de KLM, Transavia, Air France, United Airlines en Virgin Atlantic zijn lek. Door bepaalde code in te voeren in formulieren op de sites, kunnen cybercriminelen eenvoudig passagiersgegevens, zoals creditcardnummers achterhalen.

Webapplicatiebouwer Ronald Klapwijk ontdekte de lekken enkele weken geleden.

De kwetsbaarbaarheid ontstaat doordat het mogelijk is om, bijvoorbeeld via een boekingsformuliertje, scriptcode uit te voeren op de getroffen websites. Veel websites zijn gevoelig voor dit zogenoemde Cross-site Scripting (XSS). XSS is echter eenvoudig te voorkomen, door de gegevens die in formulieren worden ingevoerd te controleren op kwaadaardige code.

Creditcardnummers

Volgens Klapwijk kunnen de lekken worden gebruikt om teksten op de kwetsbare sites aan te passen. Zo kan bijvoorbeeld een andere titel op een webpagina worden gepubliceerd. Maar de fouten maken het ook mogelijk om gevoelige gegevens te achterhalen, zoals personalia en creditcardnummers van passagiers. Daartoe zouden cybercriminelen de passagiers moeten verleiden om op een speciale link te klikken, bijvoorbeeld via een nagemaakte e-mail van de betrokken maatschappijen.

Afgelopen week nog deed een dergelijke 'phishing-mail' in Nederland de ronde. De afzenders trachtten daarmee inloggegevens van rekeninghouders van ABN Amro te bemachtigen.

Standaardmailtje

Klapwijk ontdekte de lekken begin maart. "Ik bouw zelf webapplicaties, dus ik ben hier alert op. Als ik een formuliertje zie, begint het te kriebelen." Hij waarschuwde de betrokken luchtvaartmaatschappijen, maar kreeg van de meeste bedrijven slechts een standaardmailtje terug. De lekken zijn nog niet gedicht.

Vliegtickets

Volgens KLM-woordvoerder Hugo Baas wordt er inmiddels hard gewerkt om de lekken op de site te dichten. Hij vermoedt dat Klapwijks eerste e-mail niet bij de juiste persoon terecht is gekomen.

De luchtvaartmaatschappij heeft Klapwijk als dank twee vliegtickets aangeboden naar een Europese bestemming naar keuze.