Kebocoran Data Pelanggan FlightAware: Nama, Alamat Email, dan Kata Sandi Mungkin Terekspos
(loyaltylobby.com)- FlightAware mewajibkan reset kata sandi bagi pengguna yang berpotensi terdampak, karena ada kemungkinan data pribadi akun terekspos akibat kesalahan konfigurasi yang ditemukan pada 25 Juli 2024
- Informasi yang mungkin terekspos mencakup ID pengguna, kata sandi, dan alamat email; tergantung informasi yang dimasukkan pengguna, dapat mencakup juga nama, alamat, alamat IP, nomor telepon, tahun lahir, hingga 4 digit terakhir kartu kredit
- Perusahaan telah memperbaiki kesalahan konfigurasi setelah menemukan masalah tersebut, dan pengguna akan menerima instruksi reset kata sandi saat login berikutnya atau dapat menggunakan tautan reset akun
- Pemberitahuan menyatakan bahwa keterlambatan notifikasi bukan karena penyelidikan penegak hukum, dan pertanyaan terkait privasi diterima melalui privacy@flightaware.com atau ditujukan kepada penanggung jawab Privacy di alamat Houston
- Per 16 Agustus 2024, pemberitahuan dilakukan lebih dari 3 minggu setelah tanggal penemuan, dan sumber asli menilai hal ini sebagai pelanggaran kewajiban pemberitahuan 72 jam Uni Eropa
Kemungkinan tereksposnya informasi akun akibat kesalahan konfigurasi
- Dalam email yang dikirim kepada pengguna, FlightAware memberi tahu tentang insiden keamanan data yang berpotensi mengekspos data pribadi akun
- Insiden ini terkait dengan kesalahan konfigurasi yang ditemukan pada 25 Juli 2024
- Semua pengguna yang berpotensi terdampak harus mereset kata sandi
- Pengguna akan menerima prompt reset kata sandi saat login FlightAware berikutnya, atau dapat menggunakan tautan reset akun
Informasi yang dapat terekspos
- Informasi yang pada dasarnya disebut berpotensi terekspos adalah sebagai berikut
- ID pengguna
- Kata sandi
- Alamat email
- Tergantung informasi yang diberikan pengguna pada akun, item tambahan juga dapat termasuk
- Nama lengkap
- Alamat penagihan
- Alamat pengiriman
- Alamat IP
- Akun media sosial
- Nomor telepon
- Tahun lahir
- 4 digit terakhir nomor kartu kredit
- Informasi terkait pesawat yang dimiliki
- Industri
- Jabatan
- Status sebagai pilot atau bukan
- Aktivitas akun, misalnya penerbangan yang dilihat dan komentar yang diposting
Tanggapan FlightAware dan kanal kontak
- Setelah menemukan kemungkinan paparan, FlightAware segera memperbaiki kesalahan konfigurasi
- Semua pengguna yang berpotensi terdampak harus menyelesaikan reset kata sandi
- Pemberitahuan tersebut menyatakan bahwa notifikasi ini tidak tertunda karena penyelidikan penegak hukum
- Kontak dukungan tambahan terkait privasi adalah sebagai berikut
- Email: privacy@flightaware.com
- Pos: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046
Keterlambatan pemberitahuan dan kontroversi regulasi
- Tanggal penemuan insiden adalah 25 Juli 2024
- Pemberitahuan kepada pengguna disebut dikirim sehari sebelum waktu publikasi pada 16 Agustus 2024
- Sumber asli menilai FlightAware melanggar regulasi perlindungan konsumen Uni Eropa yang mewajibkan pemberitahuan kepada pengguna dalam 72 jam atas potensi pelanggaran data
- Fakta bahwa dibutuhkan lebih dari 3 minggu sejak penemuan hingga pemberitahuan tetap menjadi masalah utama
Hal yang perlu diperiksa pengguna
- Pengguna akun FlightAware harus melakukan reset kata sandi saat login berikutnya
- Karena informasi yang berpotensi terekspos mencakup kata sandi dan alamat email, pengguna yang memakai kata sandi yang sama di layanan lain perlu melakukan pemeriksaan terpisah
- Kanal resmi FlightAware untuk pertanyaan privasi adalah privacy@flightaware.com
1 komentar
Komentar Hacker News
Judulnya tidak lengkap, atau nyaris menyesatkan. Informasi yang bocor jauh lebih banyak daripada nama, email, dan kata sandi:
Bergantung pada informasi yang diberikan, bisa mencakup nama lengkap, alamat penagihan, alamat pengiriman, alamat IP, akun media sosial, nomor telepon, tahun lahir, 4 digit terakhir kartu kredit, informasi pesawat yang dimiliki, bidang usaha, jabatan, apakah pengguna adalah pilot, hingga aktivitas akun (seperti penerbangan yang dilihat dan komentar yang ditulis).
Kedengarannya hampir semua informasi yang terhubung ke profil terdampak. Untungnya, sejauh yang saya ingat, saya tidak memakai akun itu secara terpisah, dan menggunakan email serta kata sandi sekali pakai.
Aplikasi iOS FlightAware juga baru saja menghentikan dukungan iOS 15, dan alih-alih membiarkan aplikasi lama tetap berjalan, mereka menampilkan modal layar penuh kepada pengguna iOS 15 yang pada dasarnya menyuruh mereka membeli ponsel baru, sehingga memblokir penggunaan aplikasi yang masih berfungsi baik sampai minggu lalu.
Aplikasi lain di ponsel saya tetap berjalan dengan elegan di perangkat lama, hanya aplikasi ini yang begini. Ini benar-benar tidak masuk akal, dan bukan cara aplikasi normal menangani kompatibilitas mundur. Para pengembang mereka terlihat seperti badut yang tidak tahu apa yang mereka lakukan.
Untuk mendukung perangkat itu, mereka mungkin harus terus mempertahankan versi webapp lama, dan itu bukan hal gratis. Mendukung perangkat selama 7 tahun untuk aplikasi gratis juga sudah termasuk lama, dan dengan iOS 18 yang sudah di depan mata, penghentian dukungan makin masuk akal.
Bisa dipastikan email itu asli. Saya juga menerimanya. Yang penting, mereka menyebut kebocoran kata sandi.
Mereka tidak menyebutkan apakah kata sandi di-hash, dan jika ya apakah memakai salt, dan saya juga tidak bisa menemukan posting blog. Fakta bahwa email pemberitahuan butuh lebih dari 3 minggu tidak mengesankan.
Isi email pada umumnya terdengar seperti data yang ada di tabel akun pengguna, tetapi saya tidak ingat 4 digit terakhir kartu kredit ada di sana. Dan karena mereka menulis “kata sandi”, bukan “kata sandi yang diberi salt/di-hash”, sepertinya ada hal lain yang lebih besar.
Terpikir juga bahwa ini mungkin masalah Apache atau Apache Rivet, sehingga semua konten yang dikirim ke server bisa saja disadap. Kalau begitu, jika Anda login selama periode tersebut, kata sandi asli Anda bisa termasuk, dan jika membeli sesuatu, informasi kartu kredit juga bisa termasuk.
Rivet punya banyak jebakan berbahaya. Seingat saya, variabel tetap ada selama siklus hidup proses anak Apache, sehingga jika tidak dihapus secara manual, variabel itu bisa diakses oleh request berikutnya. Jika seseorang menghapus atau tidak menjalankan prosedur besar “hapus semua variabel yang mungkin kita set”, dan ada orang yang bisa mendapatkan output
info var, maka mereka bisa melihat semua nilai yang diset dari request sebelumnya, atau request yang lebih lama yang belum tertimpa. Informasi pengguna juga disimpan dalam array global besar bernamauser.8 bulan lalu FlightAware menulis posting blog bahwa mereka sedang bermigrasi dari TCL untuk seluruh stack teknologinya. Judulnya “Managing a Technical Transformation (Part 1)”, tetapi saya tidak menemukan Part 2.
https://flightaware.engineering/managing-a-technical-transfo...
Beberapa tautan tambahan:
https://www.404media.co/flightaware-exposed-pilots-and-users...
Balasan otomatis yang diterima saat membalas email tersebut:
https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...
Karena tidak ada bagian artikel yang menyebut kata sandi “di-hash”, saya jadi berasumsi kata sandi plaintext yang bocor.
Ini 100 kali lebih buruk daripada semua kebocoran data lain digabungkan. Bisa sangat fatal bagi pengguna, dan sejak awal mudah dicegah dengan tidak menyimpannya dalam bentuk plaintext.
Edit: seseorang mengatakan kata sandi yang disimpan memang di-hash [1]. Semoga itu benar.
[1] https://news.ycombinator.com/item?id=41278855
Sekarang saatnya manajemen bertanggung jawab. Toh saat negosiasi gaji mereka begitu sering mengedepankan tanggung jawab.
Masih belum ada apa-apa di situs web. Hanya diposting di Discourse resmi:
https://discussions.flightaware.com/t/closing-account-due-th...
Saya punya akun gratis FlightAware, dan sesekali pernah membeli in-app purchase penghapus iklan melalui Apple. Saya penasaran informasi pribadi atau informasi penagihan apa yang sebenarnya mereka miliki selain alamat email saya.