1 Punkte von GN⁺ 2024-08-19 | 1 Kommentare | Auf WhatsApp teilen
  • FlightAware fordert potenziell betroffene Nutzer zum Zurücksetzen ihres Passworts auf, da durch einen am 25. Juli 2024 entdeckten Konfigurationsfehler möglicherweise Kontodaten offengelegt wurden
  • Zu den potenziell offengelegten Informationen gehören Benutzer-ID, Passwort und E-Mail-Adresse; je nach den vom Nutzer angegebenen Daten können auch Name, Adresse, IP-Adresse, Telefonnummer, Geburtsjahr und die letzten 4 Ziffern der Kreditkarte betroffen sein
  • Das Unternehmen hat den Konfigurationsfehler nach Entdeckung des Problems behoben; Nutzer erhalten beim nächsten Login eine Aufforderung zum Zurücksetzen des Passworts oder können den Link zum Zurücksetzen des Kontos verwenden
  • In der Mitteilung wird ausdrücklich darauf hingewiesen, dass die Verzögerung der Benachrichtigung nicht auf Ermittlungen von Strafverfolgungsbehörden zurückzuführen sei; Anfragen zum Datenschutz werden an privacy@flightaware.com oder an den Privacy-Kontakt unter der Adresse in Houston entgegengenommen
  • Mit Stand 16. August 2024 erfolgte die Benachrichtigung mehr als 3 Wochen nach dem Entdeckungsdatum; der Originaltext bewertet dies als Verstoß gegen die 72-Stunden-Benachrichtigungspflicht der EU

Mögliche Offenlegung von Kontoinformationen durch einen Konfigurationsfehler

  • FlightAware informierte Nutzer per E-Mail über einen Datensicherheitsvorfall, bei dem Kontodaten potenziell offengelegt wurden
  • Der Vorfall steht im Zusammenhang mit einem Konfigurationsfehler, der am 25. Juli 2024 entdeckt wurde
  • Alle potenziell betroffenen Nutzer müssen ihr Passwort zurücksetzen
  • Nutzer erhalten beim nächsten FlightAware-Login eine Aufforderung zum Zurücksetzen des Passworts oder können den Link zum Zurücksetzen des Kontos verwenden

Welche Informationen offengelegt worden sein könnten

  • Als potenziell offengelegt wurden grundsätzlich folgende Informationen genannt
    • Benutzer-ID
    • Passwort
    • E-Mail-Adresse
  • Je nach den im Konto hinterlegten Informationen können auch zusätzliche Angaben betroffen sein
    • Vollständiger Name
    • Rechnungsadresse
    • Lieferadresse
    • IP-Adresse
    • Social-Media-Konten
    • Telefonnummer
    • Geburtsjahr
    • Letzte 4 Ziffern der Kreditkartennummer
    • Informationen zu im Besitz befindlichen Flugzeugen
    • Branche
    • Berufsbezeichnung
    • Ob die Person Pilot ist
    • Kontoaktivitäten, etwa angesehene Flüge und veröffentlichte Kommentare

Reaktion von FlightAware und Kontaktkanäle

  • FlightAware hat den Konfigurationsfehler sofort behoben, nachdem die potenzielle Offenlegung entdeckt wurde
  • Alle potenziell betroffenen Nutzer müssen das Zurücksetzen ihres Passworts abschließen
  • In der Mitteilung wird ausdrücklich erklärt, dass diese Benachrichtigung nicht wegen Ermittlungen von Strafverfolgungsbehörden verzögert wurde
  • Für weitere Unterstützung bei Datenschutzfragen stehen folgende Kontakte zur Verfügung
    • E-Mail: privacy@flightaware.com
    • Post: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046

Verzögerte Benachrichtigung und Streit um Vorschriften

  • Das Entdeckungsdatum des Vorfalls ist der 25. Juli 2024
  • Die Nutzerbenachrichtigung wurde laut Darstellung zum Veröffentlichungszeitpunkt am 16. August 2024 am Vortag versandt
  • Der Originaltext bewertet dies als Verstoß von FlightAware gegen EU-Verbraucherschutzvorschriften, nach denen Nutzer innerhalb von 72 Stunden über potenzielle Datenschutzverletzungen informiert werden müssen
  • Der zentrale Kritikpunkt bleibt, dass zwischen Entdeckung und Benachrichtigung mehr als drei Wochen lagen

Was Nutzer prüfen sollten

  • Nutzer von FlightAware-Konten müssen beim nächsten Login ihr Passwort zurücksetzen
  • Da zu den potenziell offengelegten Daten auch Passwort und E-Mail-Adresse gehören, sollten Nutzer, die dasselbe Passwort bei anderen Diensten verwenden, diese ebenfalls überprüfen
  • Der offizielle Datenschutzkontakt von FlightAware ist privacy@flightaware.com

1 Kommentare

 
GN⁺ 2024-08-19
Hacker-News-Kommentare
  • Der Titel ist unvollständig oder fast schon irreführend. Die geleakten Informationen umfassen deutlich mehr als Namen, E-Mail-Adressen und Passwörter:
    Je nach bereitgestellten Angaben könnten vollständiger Name, Rechnungsadresse, Lieferadresse, IP-Adresse, Social-Media-Konten, Telefonnummer, Geburtsjahr, die letzten 4 Ziffern der Kreditkarte, Informationen zu eigenen Flugzeugen, Branche, Jobtitel, ob man Pilot ist, sowie Kontoaktivitäten (etwa angesehene Flüge und verfasste Kommentare) enthalten gewesen sein.
    Es klingt so, als sei nahezu alles betroffen, was mit dem Profil verknüpft war. Zum Glück habe ich das Konto, soweit ich mich erinnere, nicht separat genutzt und eine Wegwerf-E-Mail-Adresse sowie ein Wegwerf-Passwort verwendet.

    • Klingt nach einem vollständigen Datenbank-Dump.
    • Ich wollte den Titel nicht frei interpretieren, aber dang kann den Titel gern ändern.
  • Die iOS-App von FlightAware hat gerade auch die Unterstützung für iOS 15 eingestellt. Statt die bestehende App weiter funktionieren zu lassen, wird iOS-15-Nutzern ein Vollbild-Modal angezeigt, das ihnen sinngemäß sagt, sie sollten ein neues Telefon kaufen, und blockiert damit die Nutzung einer App, die bis letzte Woche noch einwandfrei lief.
    Andere Apps auf meinem Telefon laufen auf älteren Geräten weiterhin sauber weiter, nur diese App verhält sich so. Das ist völlig unsinnig und nicht die Art, wie eine vernünftige App mit Abwärtskompatibilität umgeht. Die Entwickler dort wirken wie Clowns, die nicht wissen, was sie tun.

    • Die Vorstellung, dass die Entwickler hätten entscheiden dürfen, was unterstützt wird, ist amüsant. Das ist ganz klar eine Managemententscheidung, wenn nicht sogar eine Entscheidung des CEO.
    • Fairerweise: Das aktuell genutzte Gerät ist 8 Jahre alt, und Apples Support dafür endete vor 2 Jahren. Manche Websites funktionieren darauf wahrscheinlich bereits nicht mehr, und App-Wrapper für „Webdienste“ unterliegen zwangsläufig ähnlichen Einschränkungen.
      Um dieses Gerät zu unterstützen, müsste man vermutlich eine alte Web-App-Version weiterpflegen, und das ist nicht kostenlos. Ein kostenloses App-Angebot 7 Jahre lang für ein Gerät zu unterstützen, ist bereits recht lang; da iOS 18 kurz bevorsteht, wird das Einstellen des Supports zunehmend nachvollziehbar.
  • Dass die E-Mail echt ist, kann ich bestätigen. Ich habe sie ebenfalls bekommen. Wichtig ist, dass sie von einem Passwort-Leak gesprochen haben.
    Ob die Passwörter gehasht waren und, falls ja, ob sie gesalzen waren, wurde nicht erwähnt, und ich konnte auch keinen Blogbeitrag finden. Dass die Benachrichtigungs-E-Mail mehr als 3 Wochen gebraucht hat, ist nicht gerade beeindruckend.

    • Als jemand, der früher dort gearbeitet hat: Passwörter wurden in der Datenbank definitiv gesalzen und gehasht gespeichert.
      Der Inhalt der E-Mail klingt größtenteils nach Daten aus der Benutzerkonten-Tabelle, aber ich hätte nicht gedacht, dass die letzten 4 Kreditkartenziffern dort standen. Und weil sie „Passwörter“ statt „gesalzene/gehashte Passwörter“ geschrieben haben, klingt es so, als sei mehr im Spiel gewesen.
      Es kommt mir auch in den Sinn, dass dies ein Apache- oder Apache-Rivet-Problem gewesen sein könnte, bei dem alles abgefangen wurde, was an den Server gesendet wurde. Dann könnten, sofern man sich in diesem Zeitraum eingeloggt hat, das tatsächliche Passwort und, falls man etwas gekauft hat, sogar Kreditkarteninformationen enthalten sein.
      Rivet hatte viele gefährliche Fallstricke. Soweit ich mich erinnere, blieben Variablen über die Lebensdauer eines Apache-Child-Prozesses hinweg bestehen; wenn man sie nicht explizit löschte, waren sie bei der nächsten Anfrage zugänglich. Wenn jemand die riesige Prozedur „lösche alle Variablen, die wir gesetzt haben könnten“ entfernt oder nicht ausgeführt hat und jemand außerdem an die Ausgabe von info var gelangen konnte, hätte er sämtliche gesetzten Werte aus der vorherigen Anfrage sehen können – oder aus noch älteren Anfragen, sofern sie nicht überschrieben worden waren. Nutzerinformationen wurden ebenfalls in einem großen globalen user-Array gespeichert.
    • Interessant ist, dass ich diese E-Mail nicht erhalten habe, obwohl ich ein aktives Konto habe (ADS-B-Datenfeed).
  • Vor 8 Monaten veröffentlichte FlightAware einen Blogbeitrag darüber, den gesamten Tech-Stack von TCL weg zu migrieren. Der Titel lautete „Managing a Technical Transformation (Part 1)“, aber Part 2 konnte ich nicht finden.
    https://flightaware.engineering/managing-a-technical-transfo...

  • Ein paar zusätzliche Links:
    https://www.404media.co/flightaware-exposed-pilots-and-users...
    Automatische Antwort beim Antworten auf die E-Mail:
    https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
    https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...

  • Nirgends im Artikel steht, dass die Passwörter „gehasht“ waren, daher liegt die Annahme nahe, dass Klartext-Passwörter geleakt wurden.
    Das ist 100-mal schlimmer als alle anderen Datenlecks zusammen, weil es für Nutzer verheerend sein kann und sich leicht hätte verhindern lassen, indem man sie gar nicht erst im Klartext speichert.
    Edit: Jemand sagt, die gespeicherten Passwörter seien gehasht gewesen [1]. Hoffentlich stimmt das.
    [1] https://news.ycombinator.com/item?id=41278855

  • Jetzt ist es Zeit, dass das Management Verantwortung übernimmt. Schließlich berufen sie sich bei Gehaltsverhandlungen so häufig auf Verantwortung.

  • Auf der Website steht immer noch nichts. Es wurde nur im offiziellen Discourse gepostet:
    https://discussions.flightaware.com/t/closing-account-due-th...

  • Ich habe ein kostenloses FlightAware-Konto und habe gelegentlich über Apple einen In-App-Kauf zum Entfernen von Werbung getätigt. Ich frage mich, welche personenbezogenen Daten oder Abrechnungsinformationen sie außer meiner E-Mail-Adresse tatsächlich über mich haben.