Het interne netwerk van KLM blijkt nagenoeg onbeveiligd te zijn geweest, omdat een belangrijke router het standaard fabriekswachtwoord gebruikte. Het lek is inmiddels gedicht, maar het bedrijf zwijgt over het incident.

Het probleem werd ontdekt door beveiligingsexpert Victor Angelier. De router die toegang tot interne netwerken gaf, was opgenomen in een openbaar toegankelijke database van kwetsbare systemen.

Er kon op de router via een webinterface worden ingelogd als 'admin' met als standaardwachtwoord 'epicrouter'. Hierdoor was toegang mogelijk tot het interne netwerk van de luchtvaartmaatschappij. NU.nl heeft daarvan bewijs gezien.

Omdat het lek te vinden was via databases met zwakheden in systemen, die op internet worden verspreid, konden ook kwaadwillenden toegang krijgen tot het netwerk. Het is onduidelijk of dit ook is gebeurd.

Bovendien is niet duidelijk hoe ver de toegang tot het interne netwerk van het bedrijf reikte en of zo persoonsgegevens van passagiers bereikbaar waren.

Gewijzigd

Na melding van het lek heeft KLM het wachtwoord gewijzigd. De luchtvaartmaatschappij wil niet publiekelijk reageren op het incident. 

Het is niet de eerste keer dat KLM steken laat vallen op beveiligingsgebied. In 2012 werd het bedrijf in verlegenheid gebracht toen investeringsplannen en noodprocedures onbeveiligd op internet bleken te staan.