FlightAware-Kundendatenleck (Name, E-Mail-Adresse und Passwort)

 (loyaltylobby.com)
1 Punkte von GN⁺ 2024-08-19 | 1 Kommentare | Auf WhatsApp teilen
  • FlightAware reiht sich in die Liste der Unternehmen ein, die offenbar Nutzerdaten nicht sicher schützen konnten und alles offengelegt haben
  • Laut einer E-Mail, die FlightAware gestern verschickt hat, könnten nahezu alle Kundendaten potenziell offengelegt worden sein, darunter Benutzer-ID, Passwort, E-Mail-Adresse, vollständiger Name, Rechnungsadresse, Lieferadresse, IP-Adresse, Social-Media-Konten, Telefonnummer, Geburtsjahr und die letzten 4 Ziffern der Kreditkartennummer

Nachricht von FlightAware an die Nutzer

  • Am 25. Juli wurde ein Konfigurationsfehler entdeckt, durch den persönliche Informationen von FlightAware-Konten versehentlich offengelegt worden sein könnten
  • Zu den offengelegten Informationen könnten neben Benutzer-ID, Passwort und E-Mail-Adresse auch vollständiger Name, Rechnungsadresse, Lieferadresse, IP-Adresse, Social-Media-Konten, Telefonnummer, Geburtsjahr, die letzten 4 Ziffern der Kreditkartennummer, Informationen zu besessenen Flugzeugen, Branche, Position, ob jemand Pilot ist, sowie Kontoaktivitäten (angesehene Flüge, veröffentlichte Kommentare usw.) gehört haben
  • Sobald die Offenlegung entdeckt wurde, wurde der Konfigurationsfehler umgehend behoben. Als zusätzliche Vorsichtsmaßnahme verlangt das Unternehmen nun von allen potenziell betroffenen Nutzern eine Zurücksetzung des Passworts

Fazit

  • Ich verstehe nicht, warum es für solche Unternehmen so schwierig ist, Kundendaten nicht im öffentlichen Web offenzulegen
  • FlightAware hat gegen EU-Verbraucherschutzvorschriften verstoßen, nach denen Nutzer innerhalb von 72 Stunden über eine potenzielle Datenpanne informiert werden müssen, und brauchte dafür mehr als drei Wochen

Meinung von GN⁺

  • Der Vorfall erinnert erneut daran, wie wichtig Datenschutz und Cybersicherheit sind. Unternehmen müssen größere Anstrengungen unternehmen, um Kundendaten sicher zu schützen
  • Besonders bei luftfahrtbezogenen Unternehmen wie FlightAware kann ein Kundendatenleck zu schwerwiegenden Sicherheitsbedrohungen führen. Zum Beispiel könnten Terroristen Passagierinformationen missbrauchen
  • Bei Datenpannen ist eine schnelle und transparente Reaktion wichtig. FlightAware hat gegen EU-Vorschriften verstoßen und die Nutzer nicht rechtzeitig informiert. Das kann das Vertrauen in das Unternehmen beeinträchtigen
  • Kunden sollten grundlegende Sicherheitsregeln befolgen, etwa starke Passwörter verwenden und regelmäßig ändern. Außerdem sollten sie bei verdächtigen E-Mails oder Links vorsichtig sein
  • Unternehmen sollten verschiedene technische und organisatorische Sicherheitsmaßnahmen ergreifen, darunter Datenverschlüsselung, Zugangskontrollen und Echtzeit-Monitoring. Auch organisatorische Vorbereitung wie Sicherheitsschulungen für Mitarbeitende und Notfallhandbücher ist notwendig

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-08-19
Hacker-News-Kommentare
  • Leak personenbezogener Daten: Enthalten sind nicht nur Name, E-Mail und Passwort, sondern auch vollständiger Name, Rechnungsadresse, Lieferadresse, IP-Adresse, Social-Media-Konten, Telefonnummer, Geburtsdatum, die letzten 4 Ziffern der Kreditkarte, Informationen zu besessenen Flugzeugen, Beruf, Pilot-Status und Kontoaktivitäten
  • Unterstützung der FlightAware-iOS-App eingestellt: iOS-15-Support wurde eingestellt, Nutzer sollen ein neues Telefon kaufen, während andere Apps weiterhin auf älteren Geräten funktionieren
  • Prüfung der Echtheit der E-Mail: Ein Passwort-Leak wird erwähnt, aber es ist unklar, ob die Passwörter gehasht waren; bis zum Versand der Benachrichtigungs-E-Mail vergingen 3 Wochen
  • Mögliches Leak von Klartext-Passwörtern: Möglicherweise wurden nicht gehashte Passwörter geleakt, was Nutzern erheblichen Schaden zufügen kann und leicht vermeidbar gewesen wäre
    • Bearbeitung: Jemand behauptet, dass gehashte Passwörter gespeichert wurden
  • Wechsel des Tech-Stacks: Vor 8 Monaten wurde im TCL-Blog ein Beitrag über den Wechsel des Tech-Stacks veröffentlicht, Part 2 ist nicht zu finden
  • Zusätzliche Links: Links zu Artikeln über den Leak und zu einem automatischen Antwort-Tweet wurden bereitgestellt
  • Verantwortung des Managements: Das Management sollte zur Verantwortung gezogen werden
  • Prüfung personenbezogener Daten: Es wird ein kostenloses FlightAware-Konto genutzt, und es besteht Neugier, welche persönlichen bzw. Rechnungsdaten außer der E-Mail noch vorhanden sind
  • GDPR-Benachrichtigungspflichten: Bei einem Leak personenbezogener Daten muss die Aufsichtsbehörde innerhalb von 72 Stunden informiert werden, Nutzer müssen unverzüglich benachrichtigt werden; die 3-wöchige Verzögerung von FlightAware ist problematisch
  • Kein Hinweis auf der Website: Eine Ankündigung wurde nur im offiziellen Discourse veröffentlicht