FlightAware müşteri verisi sızıntısı: İsim, e-posta adresi ve parolalar açığa çıkmış olabilir
(loyaltylobby.com)- FlightAware, 25 Temmuz 2024'te tespit edilen bir yapılandırma hatası nedeniyle hesap kişisel bilgilerinin açığa çıkmış olabileceğini belirterek, potansiyel olarak etkilenen kullanıcıların parolalarını sıfırlamasını istedi
- Açığa çıkmış olabilecek bilgiler arasında kullanıcı kimliği, parola ve e-posta adresi yer alıyor; kullanıcının girdiği bilgilere bağlı olarak ad, adres, IP adresi, telefon numarası, doğum yılı ve kredi kartının son 4 hanesi de buna dahil olabilir
- Şirket, sorunu tespit ettikten sonra yapılandırma hatasını düzeltti ve kullanıcıların bir sonraki girişte parola sıfırlama yönlendirmesi alacağını veya hesap sıfırlama bağlantısını kullanabileceğini söyledi
- Bildirimde, duyurudaki gecikmenin kolluk kuvvetlerinin soruşturması nedeniyle olmadığı açıkça belirtildi; kişisel veriyle ilgili sorular için privacy@flightaware.com veya Houston adresindeki Privacy birimiyle iletişime geçilebileceği ifade edildi
- 16 Ağustos 2024 itibarıyla bildirim, tespit tarihinden 3 haftadan fazla süre sonra yapıldı ve orijinal metin bunu AB'nin 72 saatlik bildirim zorunluluğunun ihlali olarak değerlendirdi
Yapılandırma hatası nedeniyle hesap bilgilerinin açığa çıkmış olma ihtimali
- FlightAware, kullanıcılara gönderdiği e-postada hesap kişisel bilgilerinin potansiyel olarak açığa çıktığı bir veri güvenliği olayı hakkında bilgilendirme yaptı
- Olay, 25 Temmuz 2024'te tespit edilen bir yapılandırma hatası ile ilgili
- Potansiyel olarak etkilenen tüm kullanıcıların parolalarını sıfırlaması gerekiyor
- Kullanıcılar, FlightAware'e bir sonraki girişlerinde parola sıfırlama istemi görecek veya hesap sıfırlama bağlantısını kullanabilecek
Açığa çıkmış olabilecek bilgiler
- Varsayılan olarak açığa çıkmış olabileceği belirtilen bilgiler şunlar
- Kullanıcı kimliği
- Parola
- E-posta adresi
- Kullanıcının hesaba sağladığı bilgilere göre ek öğeler de buna dahil olabilir
- Ad ve soyad
- Fatura adresi
- Teslimat adresi
- IP adresi
- Sosyal medya hesapları
- Telefon numarası
- Doğum yılı
- Kredi kartı numarasının son 4 hanesi
- Sahip olunan uçakla ilgili bilgiler
- Sektör
- Unvan
- Pilot olup olmadığı
- Hesap etkinliği; örneğin görüntülenen uçuşlar ve paylaşılan yorumlar
FlightAware'in yanıtı ve iletişim kanalları
- FlightAware, olası açığa çıkmayı tespit ettikten sonra yapılandırma hatasını derhal düzeltti
- Potansiyel olarak etkilenen kullanıcıların tamamının parola sıfırlamasını tamamlaması gerekiyor
- Bildirimde, bu duyurunun kolluk kuvvetlerinin soruşturması nedeniyle gecikmediği açıkça belirtildi
- Kişisel verilerle ilgili ek destek için iletişim bilgileri şöyle
- E-posta: privacy@flightaware.com
- Posta: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046
Bildirim gecikmesi ve düzenleme tartışması
- Olayın tespit tarihi 25 Temmuz 2024
- Kullanıcılara yönelik bildirimin, 16 Ağustos 2024 tarihli yayının yazıldığı tarihten bir gün önce gönderildiği aktarılıyor
- Orijinal metin, FlightAware'in potansiyel veri ihlalini 72 saat içinde kullanıcılara bildirmeyi öngören AB tüketici koruma düzenlemesini ihlal ettiğini değerlendiriyor
- Tespitten bildirime kadar 3 haftadan fazla zaman geçmiş olması temel sorun olarak öne çıkıyor
Kullanıcıların kontrol etmesi gerekenler
- FlightAware hesabı kullananların bir sonraki girişte parola sıfırlama işlemini yapması gerekiyor
- Açığa çıkmış olabilecek bilgiler arasında parola ve e-posta adresi de bulunduğundan, aynı parolayı başka hizmetlerde kullananların ayrıca kontrol yapması gerekiyor
- FlightAware'in resmi kişisel veri iletişim kanalı privacy@flightaware.com'dur
1 yorum
Hacker News yorumları
Başlık eksik, hatta neredeyse yanıltıcı. Sızan bilgiler ad, e-posta ve paroladan çok daha fazlası:
Sağladığınız bilgilere bağlı olarak tam ad, fatura adresi, teslimat adresi, IP adresi, sosyal medya hesapları, telefon numarası, doğum yılı, kredi kartının son 4 hanesi, sahip olunan uçak bilgisi, sektör, unvan, pilot olup olmadığınız, hesap etkinliği (bakılan uçuşlar ve yazılan yorumlar gibi) de dahil olmuş olabilir
Profile bağlı neredeyse tüm bilgiler etkilenmiş gibi görünüyor. Neyse ki hatırladığım kadarıyla hesabı ayrı olarak kullanmıyordum; tek kullanımlık e-posta ve parola kullanmıştım
FlightAware'in iOS uygulaması da iOS 15 desteğini daha yeni kesti; mevcut uygulamanın çalışmaya devam etmesine izin vermek yerine iOS 15 kullanıcılarına yeni telefon almalarını söyleyen tam ekran bir modal gösterip geçen haftaya kadar sorunsuz çalışan uygulamayı kullanmalarını engelliyor
Telefonumdaki diğer uygulamalar eski cihazlarda da düzgünce çalışmaya devam ediyor, bunu yapan tek uygulama bu. Bu tamamen saçma ve düzgün bir uygulamanın geriye dönük uyumluluğu ele alma biçimi değil. Oradaki geliştiriciler ne yaptığını bilmeyen palyaçolar gibi görünüyor
O cihazı desteklemek için muhtemelen mevcut web uygulaması sürümünü sürdürmeleri gerekir, bu da bedavaya olan bir şey değil. Ücretsiz bir uygulamada cihazı 7 yıl desteklemek zaten uzun sayılır; iOS 18 kapıdayken desteği sonlandırmak giderek daha makul hale geliyor
E-postanın gerçek olduğu doğrulanabilir. Ben de aldım. Parola sızıntısından söz etmeleri önemli
Hash'lenip hash'lenmediğini, hash'lendiyse salt olup olmadığını belirtmemişler; blog yazısı da bulamadım. Bildirim e-postasının 3 haftadan uzun sürmesi pek etkileyici değil
E-postanın içeriği büyük ölçüde kullanıcı hesabı tablosunda olanlara benziyor; ama kredi kartının son 4 hanesinin orada olduğunu sanmıyordum. Ayrıca “salt/hash'lenmiş parola” değil de “parola” yazmalarına bakılırsa daha fazlası varmış gibi görünüyor
Bunun Apache ya da Apache Rivet kaynaklı bir sorun olup sunucuya gönderilen her şeyi yakalamış olma ihtimali de akla geliyor. Öyleyse ilgili dönemde giriş yaptıysanız gerçek parola, bir şey satın aldıysanız kredi kartı bilgileri de dahil olabilir
Rivet'te çok tehlikeli tuzaklar vardı. Hatırladığım kadarıyla değişkenler Apache child process'in yaşam döngüsü boyunca kalıyordu; elle silmezseniz sonraki istekte erişilebiliyordu. Birisi devasa “muhtemelen ayarladığımız tüm değişkenleri sil” prosedürünü silmiş ya da çalıştırmamışsa ve bir başkası
info varçıktısını alabilmişse önceki isteğin, hatta üzerine yazılmamış daha eski isteklerin tüm ayar değerlerini görebilirdi. Kullanıcı bilgileri de büyük bir globaluserdizisinde tutuluyordu8 ay önce FlightAware tüm teknoloji yığınını TCL'den taşıdığına dair bir blog yazısı yazmıştı. Yazının başlığı “Managing a Technical Transformation (Part 1)”; Part 2'yi bulamadım
https://flightaware.engineering/managing-a-technical-transfo...
Birkaç ek bağlantı:
https://www.404media.co/flightaware-exposed-pilots-and-users...
E-postaya yanıt verince gelen otomatik cevap:
https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...
Makalenin hiçbir yerinde parolanın “hash'lendiği” yazmıyor; bu yüzden düz metin parolaların sızdığı varsayımına gidiliyor
Bu, diğer tüm veri sızıntılarının toplamından 100 kat daha kötü. Kullanıcılar için yıkıcı olabilir ve en başta düz metin olarak saklamazsanız kolayca önlenebilir
Düzenleme: Biri saklanan parolaların hash'lendiğini söylüyor [1]. Umarım doğrudur
[1] https://news.ycombinator.com/item?id=41278855
Artık yönetimin sorumluluk alma zamanı. Maaş pazarlığı sırasında sorumluluktan bu kadar sık bahsediyorlar madem
Web sitesinde hâlâ hiçbir şey yok. Yalnızca resmi Discourse'ta paylaşılmış:
https://discussions.flightaware.com/t/closing-account-due-th...
Ücretsiz bir FlightAware hesabım var ve arada sırada Apple üzerinden reklam kaldırma uygulama içi satın alması yapmıştım. E-posta adresim dışında ellerinde gerçekte hangi kişisel bilgi veya fatura bilgileri olduğunu merak ediyorum