Kebocoran data pelanggan FlightAware (nama, alamat email, dan kata sandi)

 (loyaltylobby.com)
1 poin oleh GN⁺ 2024-08-19 | 1 komentar | Bagikan ke WhatsApp
  • FlightAware bergabung dalam daftar perusahaan yang tampaknya gagal melindungi data pengguna dengan aman dan membocorkan semuanya
  • Menurut email yang dikirim FlightAware kemarin, hampir semua data pelanggan berpotensi terekspos, termasuk ID pengguna, kata sandi, alamat email, nama lengkap, alamat penagihan, alamat pengiriman, alamat IP, akun media sosial, nomor telepon, tahun kelahiran, dan 4 digit terakhir nomor kartu kredit

Pesan yang dikirim FlightAware kepada pengguna

  • Pada 25 Juli, FlightAware menemukan kesalahan konfigurasi yang dapat menyebabkan informasi pribadi akun FlightAware terekspos secara tidak sengaja
  • Informasi yang terekspos mungkin mencakup, selain ID pengguna, kata sandi, dan alamat email, juga nama lengkap, alamat penagihan, alamat pengiriman, alamat IP, akun media sosial, nomor telepon, tahun kelahiran, 4 digit terakhir nomor kartu kredit, informasi pesawat yang dimiliki, industri, jabatan, status pilot, serta aktivitas akun (penerbangan yang dilihat, komentar yang diposting, dan lain-lain)
  • Segera setelah paparan tersebut ditemukan, mereka langsung memperbaiki kesalahan konfigurasi dan, sebagai langkah kehati-hatian tambahan, mewajibkan semua pengguna yang berpotensi terdampak untuk mengatur ulang kata sandi

Kesimpulan

  • Sulit dipahami mengapa perusahaan-perusahaan seperti ini tidak bisa mencegah data pelanggan terekspos ke web publik
  • FlightAware melanggar aturan perlindungan konsumen Uni Eropa yang mewajibkan pemberitahuan kepada pengguna tentang potensi kebocoran data dalam waktu 72 jam, tetapi membutuhkan lebih dari 3 minggu

Opini GN⁺

  • Insiden kebocoran data kembali mengingatkan pentingnya perlindungan privasi dan keamanan siber. Perusahaan harus berupaya lebih keras untuk melindungi data pelanggan dengan aman
  • Khususnya bagi perusahaan terkait penerbangan seperti FlightAware, kebocoran data pelanggan dapat menimbulkan ancaman keamanan yang serius. Misalnya, teroris dapat menyalahgunakan informasi penumpang
  • Saat terjadi insiden kebocoran data, respons yang cepat dan transparan sangat penting. FlightAware melanggar aturan Uni Eropa dengan tidak memberi tahu pengguna tepat waktu. Ini dapat menurunkan tingkat kepercayaan terhadap perusahaan
  • Pelanggan perlu mengikuti praktik keamanan dasar untuk melindungi informasi pribadi mereka, seperti menggunakan kata sandi yang kuat dan menggantinya secara berkala. Mereka juga harus waspada terhadap email atau tautan yang mencurigakan
  • Perusahaan perlu menerapkan berbagai langkah keamanan teknis dan administratif seperti enkripsi data, kontrol akses, dan pemantauan real-time. Selain itu, kesiapan di tingkat organisasi seperti pelatihan keamanan bagi karyawan dan penyusunan manual respons krisis juga diperlukan

Bacaan terkait

1 komentar

 
GN⁺ 2024-08-19
Komentar Hacker News
  • Kebocoran data pribadi: Selain nama, email, dan kata sandi, data yang termasuk juga nama lengkap, alamat penagihan, alamat pengiriman, alamat IP, akun media sosial, nomor telepon, tanggal lahir, 4 digit terakhir kartu kredit, informasi pesawat yang dimiliki, pekerjaan, status apakah pilot, aktivitas akun, dan lainnya
  • Dukungan aplikasi iOS FlightAware dihentikan: Dukungan untuk iOS 15 dihentikan, pengguna diminta membeli ponsel baru, sementara aplikasi lain masih tetap berjalan di perangkat lama
  • Verifikasi keaslian email: Disebutkan ada kebocoran kata sandi, tetapi tidak jelas apakah dalam bentuk hash, dan butuh 3 minggu sampai email pemberitahuan dikirim
  • Kemungkinan kebocoran kata sandi plaintext: Ada kemungkinan kata sandi yang tidak di-hash bocor, menimbulkan kerugian besar bagi pengguna, padahal hal ini mudah dicegah
    • Edit: Seseorang mengklaim bahwa kata sandi disimpan dalam bentuk hash
  • Peralihan tech stack: Delapan bulan lalu ada posting blog tentang peralihan tech stack dari TCL, tetapi Part 2 tidak dapat ditemukan
  • Tautan tambahan: Disediakan tautan ke artikel terkait kebocoran dan tweet balasan otomatis
  • Tanggung jawab manajemen: Pihak manajemen harus dimintai pertanggungjawaban
  • Pengecekan data pribadi: Menggunakan akun gratis FlightAware, penasaran data pribadi/penagihan apa saja yang mereka miliki selain email
  • Persyaratan notifikasi GDPR: Jika terjadi kebocoran data pribadi, otoritas pengawas harus diberi tahu dalam 72 jam, dan pengguna harus diberi tahu tanpa penundaan; pemberitahuan yang terlambat 3 minggu dari FlightAware bermasalah
  • Tidak ada pengumuman di situs web: Pengumuman hanya dipasang di Discourse resmi