FlightAware-Kundendatenleck: Namen, E-Mail-Adressen und Passwörter möglicherweise offengelegt
(loyaltylobby.com)- FlightAware fordert potenziell betroffene Nutzer zum Zurücksetzen ihres Passworts auf, da durch einen am 25. Juli 2024 entdeckten Konfigurationsfehler möglicherweise Kontodaten offengelegt wurden
- Zu den potenziell offengelegten Informationen gehören Benutzer-ID, Passwort und E-Mail-Adresse; je nach den vom Nutzer angegebenen Daten können auch Name, Adresse, IP-Adresse, Telefonnummer, Geburtsjahr und die letzten 4 Ziffern der Kreditkarte betroffen sein
- Das Unternehmen hat den Konfigurationsfehler nach Entdeckung des Problems behoben; Nutzer erhalten beim nächsten Login eine Aufforderung zum Zurücksetzen des Passworts oder können den Link zum Zurücksetzen des Kontos verwenden
- In der Mitteilung wird ausdrücklich darauf hingewiesen, dass die Verzögerung der Benachrichtigung nicht auf Ermittlungen von Strafverfolgungsbehörden zurückzuführen sei; Anfragen zum Datenschutz werden an privacy@flightaware.com oder an den Privacy-Kontakt unter der Adresse in Houston entgegengenommen
- Mit Stand 16. August 2024 erfolgte die Benachrichtigung mehr als 3 Wochen nach dem Entdeckungsdatum; der Originaltext bewertet dies als Verstoß gegen die 72-Stunden-Benachrichtigungspflicht der EU
Mögliche Offenlegung von Kontoinformationen durch einen Konfigurationsfehler
- FlightAware informierte Nutzer per E-Mail über einen Datensicherheitsvorfall, bei dem Kontodaten potenziell offengelegt wurden
- Der Vorfall steht im Zusammenhang mit einem Konfigurationsfehler, der am 25. Juli 2024 entdeckt wurde
- Alle potenziell betroffenen Nutzer müssen ihr Passwort zurücksetzen
- Nutzer erhalten beim nächsten FlightAware-Login eine Aufforderung zum Zurücksetzen des Passworts oder können den Link zum Zurücksetzen des Kontos verwenden
Welche Informationen offengelegt worden sein könnten
- Als potenziell offengelegt wurden grundsätzlich folgende Informationen genannt
- Benutzer-ID
- Passwort
- E-Mail-Adresse
- Je nach den im Konto hinterlegten Informationen können auch zusätzliche Angaben betroffen sein
- Vollständiger Name
- Rechnungsadresse
- Lieferadresse
- IP-Adresse
- Social-Media-Konten
- Telefonnummer
- Geburtsjahr
- Letzte 4 Ziffern der Kreditkartennummer
- Informationen zu im Besitz befindlichen Flugzeugen
- Branche
- Berufsbezeichnung
- Ob die Person Pilot ist
- Kontoaktivitäten, etwa angesehene Flüge und veröffentlichte Kommentare
Reaktion von FlightAware und Kontaktkanäle
- FlightAware hat den Konfigurationsfehler sofort behoben, nachdem die potenzielle Offenlegung entdeckt wurde
- Alle potenziell betroffenen Nutzer müssen das Zurücksetzen ihres Passworts abschließen
- In der Mitteilung wird ausdrücklich erklärt, dass diese Benachrichtigung nicht wegen Ermittlungen von Strafverfolgungsbehörden verzögert wurde
- Für weitere Unterstützung bei Datenschutzfragen stehen folgende Kontakte zur Verfügung
- E-Mail: privacy@flightaware.com
- Post: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046
Verzögerte Benachrichtigung und Streit um Vorschriften
- Das Entdeckungsdatum des Vorfalls ist der 25. Juli 2024
- Die Nutzerbenachrichtigung wurde laut Darstellung zum Veröffentlichungszeitpunkt am 16. August 2024 am Vortag versandt
- Der Originaltext bewertet dies als Verstoß von FlightAware gegen EU-Verbraucherschutzvorschriften, nach denen Nutzer innerhalb von 72 Stunden über potenzielle Datenschutzverletzungen informiert werden müssen
- Der zentrale Kritikpunkt bleibt, dass zwischen Entdeckung und Benachrichtigung mehr als drei Wochen lagen
Was Nutzer prüfen sollten
- Nutzer von FlightAware-Konten müssen beim nächsten Login ihr Passwort zurücksetzen
- Da zu den potenziell offengelegten Daten auch Passwort und E-Mail-Adresse gehören, sollten Nutzer, die dasselbe Passwort bei anderen Diensten verwenden, diese ebenfalls überprüfen
- Der offizielle Datenschutzkontakt von FlightAware ist privacy@flightaware.com
1 Kommentare
Hacker-News-Kommentare
Der Titel ist unvollständig oder fast schon irreführend. Die geleakten Informationen umfassen deutlich mehr als Namen, E-Mail-Adressen und Passwörter:
Je nach bereitgestellten Angaben könnten vollständiger Name, Rechnungsadresse, Lieferadresse, IP-Adresse, Social-Media-Konten, Telefonnummer, Geburtsjahr, die letzten 4 Ziffern der Kreditkarte, Informationen zu eigenen Flugzeugen, Branche, Jobtitel, ob man Pilot ist, sowie Kontoaktivitäten (etwa angesehene Flüge und verfasste Kommentare) enthalten gewesen sein.
Es klingt so, als sei nahezu alles betroffen, was mit dem Profil verknüpft war. Zum Glück habe ich das Konto, soweit ich mich erinnere, nicht separat genutzt und eine Wegwerf-E-Mail-Adresse sowie ein Wegwerf-Passwort verwendet.
Die iOS-App von FlightAware hat gerade auch die Unterstützung für iOS 15 eingestellt. Statt die bestehende App weiter funktionieren zu lassen, wird iOS-15-Nutzern ein Vollbild-Modal angezeigt, das ihnen sinngemäß sagt, sie sollten ein neues Telefon kaufen, und blockiert damit die Nutzung einer App, die bis letzte Woche noch einwandfrei lief.
Andere Apps auf meinem Telefon laufen auf älteren Geräten weiterhin sauber weiter, nur diese App verhält sich so. Das ist völlig unsinnig und nicht die Art, wie eine vernünftige App mit Abwärtskompatibilität umgeht. Die Entwickler dort wirken wie Clowns, die nicht wissen, was sie tun.
Um dieses Gerät zu unterstützen, müsste man vermutlich eine alte Web-App-Version weiterpflegen, und das ist nicht kostenlos. Ein kostenloses App-Angebot 7 Jahre lang für ein Gerät zu unterstützen, ist bereits recht lang; da iOS 18 kurz bevorsteht, wird das Einstellen des Supports zunehmend nachvollziehbar.
Dass die E-Mail echt ist, kann ich bestätigen. Ich habe sie ebenfalls bekommen. Wichtig ist, dass sie von einem Passwort-Leak gesprochen haben.
Ob die Passwörter gehasht waren und, falls ja, ob sie gesalzen waren, wurde nicht erwähnt, und ich konnte auch keinen Blogbeitrag finden. Dass die Benachrichtigungs-E-Mail mehr als 3 Wochen gebraucht hat, ist nicht gerade beeindruckend.
Der Inhalt der E-Mail klingt größtenteils nach Daten aus der Benutzerkonten-Tabelle, aber ich hätte nicht gedacht, dass die letzten 4 Kreditkartenziffern dort standen. Und weil sie „Passwörter“ statt „gesalzene/gehashte Passwörter“ geschrieben haben, klingt es so, als sei mehr im Spiel gewesen.
Es kommt mir auch in den Sinn, dass dies ein Apache- oder Apache-Rivet-Problem gewesen sein könnte, bei dem alles abgefangen wurde, was an den Server gesendet wurde. Dann könnten, sofern man sich in diesem Zeitraum eingeloggt hat, das tatsächliche Passwort und, falls man etwas gekauft hat, sogar Kreditkarteninformationen enthalten sein.
Rivet hatte viele gefährliche Fallstricke. Soweit ich mich erinnere, blieben Variablen über die Lebensdauer eines Apache-Child-Prozesses hinweg bestehen; wenn man sie nicht explizit löschte, waren sie bei der nächsten Anfrage zugänglich. Wenn jemand die riesige Prozedur „lösche alle Variablen, die wir gesetzt haben könnten“ entfernt oder nicht ausgeführt hat und jemand außerdem an die Ausgabe von
info vargelangen konnte, hätte er sämtliche gesetzten Werte aus der vorherigen Anfrage sehen können – oder aus noch älteren Anfragen, sofern sie nicht überschrieben worden waren. Nutzerinformationen wurden ebenfalls in einem großen globalenuser-Array gespeichert.Vor 8 Monaten veröffentlichte FlightAware einen Blogbeitrag darüber, den gesamten Tech-Stack von TCL weg zu migrieren. Der Titel lautete „Managing a Technical Transformation (Part 1)“, aber Part 2 konnte ich nicht finden.
https://flightaware.engineering/managing-a-technical-transfo...
Ein paar zusätzliche Links:
https://www.404media.co/flightaware-exposed-pilots-and-users...
Automatische Antwort beim Antworten auf die E-Mail:
https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...
Nirgends im Artikel steht, dass die Passwörter „gehasht“ waren, daher liegt die Annahme nahe, dass Klartext-Passwörter geleakt wurden.
Das ist 100-mal schlimmer als alle anderen Datenlecks zusammen, weil es für Nutzer verheerend sein kann und sich leicht hätte verhindern lassen, indem man sie gar nicht erst im Klartext speichert.
Edit: Jemand sagt, die gespeicherten Passwörter seien gehasht gewesen [1]. Hoffentlich stimmt das.
[1] https://news.ycombinator.com/item?id=41278855
Jetzt ist es Zeit, dass das Management Verantwortung übernimmt. Schließlich berufen sie sich bei Gehaltsverhandlungen so häufig auf Verantwortung.
Auf der Website steht immer noch nichts. Es wurde nur im offiziellen Discourse gepostet:
https://discussions.flightaware.com/t/closing-account-due-th...
Ich habe ein kostenloses FlightAware-Konto und habe gelegentlich über Apple einen In-App-Kauf zum Entfernen von Werbung getätigt. Ich frage mich, welche personenbezogenen Daten oder Abrechnungsinformationen sie außer meiner E-Mail-Adresse tatsächlich über mich haben.