FlightAware müşteri verileri sızdırıldı (isim, e-posta adresi ve parola)

 (loyaltylobby.com)
1 puan yazan GN⁺ 2024-08-19 | 1 yorum | WhatsApp'ta paylaş
  • FlightAware, kullanıcı verilerini güvenle koruyamayıp her şeyi sızdırmış gibi görünen şirketler listesine katıldı
  • FlightAware'in dün gönderdiği e-postaya göre kullanıcı kimliği, parola, e-posta adresi, ad soyad, fatura adresi, teslimat adresi, IP adresi, sosyal medya hesapları, telefon numarası, doğum yılı, kredi kartı numarasının son 4 hanesi dahil olmak üzere neredeyse tüm müşteri verileri potansiyel olarak açığa çıkmış olabilir

FlightAware'in kullanıcılara gönderdiği mesaj

  • 25 Temmuz'da, FlightAware hesabındaki kişisel bilgilerin yanlışlıkla açığa çıkmış olabileceği bir yapılandırma hatası tespit edildi
  • Açığa çıkan bilgiler; kullanıcı kimliği, parola ve e-posta adresinin yanı sıra ad soyad, fatura adresi, teslimat adresi, IP adresi, sosyal medya hesapları, telefon numarası, doğum yılı, kredi kartı numarasının son 4 hanesi, sahip olunan uçak bilgileri, sektör, unvan, pilot olup olmadığı ve hesap etkinliği (bakılan uçuşlar, yazılan yorumlar vb.) gibi verileri de içermiş olabilir
  • Maruziyet fark edilir edilmez yapılandırma hatası hemen düzeltildi ve ek önlem olarak potansiyel olarak etkilenen tüm kullanıcılardan parola sıfırlaması isteniyor

Sonuç

  • Bu şirketlerin müşteri verilerini herkese açık web'de ifşa etmeyecek şekilde korumasının neden bu kadar zor olduğunu anlamıyorum
  • FlightAware, olası veri ihlalini kullanıcılara 72 saat içinde bildirmesini gerektiren AB tüketici koruma düzenlemesini ihlal etti ve bunu yapmak 3 haftadan uzun sürdü

GN⁺ görüşü

  • Veri sızıntısı olayı, kişisel verilerin korunması ve siber güvenliğin önemini bir kez daha hatırlatıyor. Şirketlerin müşteri verilerini güvenle korumak için daha fazla çaba göstermesi gerekiyor
  • Özellikle FlightAware gibi havacılık alanındaki şirketlerde, müşteri verilerinin sızması ciddi güvenlik tehditlerine yol açabilir. Örneğin teröristler yolcu bilgilerini kötüye kullanabilir
  • Veri sızıntısı yaşandığında hızlı ve şeffaf müdahale önemlidir. FlightAware, AB düzenlemelerini ihlal ederek kullanıcılara zamanında bildirim yapmadı. Bu, şirketin güvenilirliğini düşürebilir
  • Müşteriler, kişisel verilerini korumak için güçlü parolalar kullanmak ve bunları düzenli olarak değiştirmek gibi temel güvenlik kurallarına uymalıdır. Ayrıca şüpheli e-postalara veya bağlantılara karşı dikkatli olunmalıdır
  • Şirketler veri şifreleme, erişim kontrolü ve gerçek zamanlı izleme gibi çeşitli teknik ve idari güvenlik önlemleri almalıdır. Ayrıca çalışanlara güvenlik eğitimi verilmesi ve kriz müdahale kılavuzları hazırlanması gibi kurumsal düzeyde hazırlıklar da gereklidir

İlgili okumalar

1 yorum

 
GN⁺ 2024-08-19
Hacker News yorumu
  • Kişisel veri ihlali: Ad, e-posta, parola dışında tam ad, fatura adresi, teslimat adresi, IP adresi, sosyal medya hesapları, telefon numarası, doğum tarihi, kredi kartının son 4 hanesi, sahip olunan uçak bilgileri, meslek, pilot olup olmadığı ve hesap etkinlikleri de dahil
  • FlightAware iOS uygulama desteğinin sonlandırılması: iOS 15 desteği kesildi, kullanıcılardan yeni telefon almaları isteniyor, diğer uygulamalar ise hâlâ eski cihazlarda çalışıyor
  • E-postanın gerçekliğinin doğrulanması: Parola sızıntısından bahsediliyor, hashlenip hashlenmediği belirsiz, bildirim e-postasının gönderilmesi 3 hafta sürdü
  • Düz metin parola sızıntısı olasılığı: Hashlenmemiş parolaların sızmış olabileceği, bunun kullanıcılar için büyük zarar doğurduğu ve kolayca önlenebilir olduğu belirtiliyor
    • Düzenleme: Birisi parolaların hashli saklandığını iddia ediyor
  • Teknoloji yığını geçişi: 8 ay önce TCL'den teknoloji yığını geçişiyle ilgili bir blog yazısı paylaşılmış, Part 2 bulunamıyor
  • Ek bağlantılar: İhlalle ilgili makale ve otomatik yanıt tweet bağlantıları paylaşıldı
  • Yönetim sorumluluğu: Yönetimin sorumluluk alması gerektiği söyleniyor
  • Kişisel bilgi kontrolü: FlightAware ücretsiz hesabı kullanan biri, e-posta dışında hangi kişisel/fatura bilgilerinin ellerinde olduğunu merak ediyor
  • GDPR bildirim gereklilikleri: Kişisel veri ihlalinde denetleyici kuruma 72 saat içinde bildirim yapılmalı, kullanıcılara da gecikmeden haber verilmeli; FlightAware'in 3 haftalık gecikmeli bildirimi sorunlu görülüyor
  • Web sitesinde duyuru yok: Duyuru yalnızca resmi Discourse'ta yapıldı