Andermans reserveringen opvragen via Easyjet.nl

“Easyjet vindt het belangrijk dat uw privacy wordt beschermd en neemt derhalve zijn verantwoordelijkheden met betrekking tot de beveiliging van klanteninformatie uiterst serieus. Wij volgen strenge beveiligingsprocedures voor de opslag en openbaarmaking van informatie die u ons heeft gegeven, om ongeautoriseerde toegang te voorkomen.” Aldus Easyjet in zijn privacyverklaring.

In de praktijk blijkt de vliegtuigmaatschappij iets slordiger om te gaan met de beveiliging van klanteninformatie dan in de privacyverklaring wordt beloofd. Wie op de site van Easyjet inlogt als ‘vaste gebruiker’, kon tot begin deze week behalve zijn eigen vluchtinformatie ook die van anderen opvragen.

Klanten van Easyjet kunnen hun vluchtgegevens via de website naar zichzelf laten mailen. Door de url aan te passen van de webpagina waarmee het e-mailtje wordt verstuurd, was het eenvoudig mogelijk om ook andermans gegevens op te vragen.

In de url zit de ‘bevestigingscode’ van de klant verwerkt. Deze code bestaat uit zeven tekens: cijfers en letters. Door bijvoorbeeld het laatste cijfer van de bevestigingscode in de adresbalk aan te passen, krijg je de vluchtinformatie van een andere Easyjet-klant toegemaild. In het bericht staan de naam van de klant en de geboekte vluchten.

Euvel

Easyjet heeft dit privacylek eerder deze week op aanwijzing van WebWereld gedicht. De ontdekker van het lek, die niet met zijn naam in de publiciteit wil, vindt het onbegrijpelijk dat Easyjet zo slordig omspringt met de privacy van zijn gebruikers.

“Easyjet had gewoon een verband moeten leggen tussen de ingelogde gebruiker en de geboekte vluchten. Het mag niet mogelijk zijn om de vluchtinformatie van een andere klant op te vragen”, aldus de ontdekker van het lek die Easyjet tevergeefs op de hoogte heeft proberen te stellen van het euvel.

“We waren niet op de hoogte van dit probleem”, stelt Sarah Pritchett, woordvoerster van Easyjet, in een reactie. “We hebben een extra beveiliging toegevoegd, zodat iemand niet zomaar de bevestigingscode in de url-balk kan aanpassen.”

Pritchett wijst erop dat het niet mogelijk was om door het lek creditcardinformatie van andere Easyjet-klanten te achterhalen. “Alleen de vluchtinformatie van willekeurige klanten was beschikbaar.”