Vazamento de dados de clientes da FlightAware (nome, endereço de e-mail e senha)

 (loyaltylobby.com)
1 pontos por GN⁺ 2024-08-19 | 1 comentários | Compartilhar no WhatsApp
  • A FlightAware entrou para a lista de empresas que aparentemente não conseguiram proteger com segurança os dados dos usuários e acabaram vazando tudo
  • Segundo um e-mail enviado ontem pela FlightAware, quase todos os dados dos clientes podem ter sido potencialmente expostos, incluindo ID de usuário, senha, endereço de e-mail, nome completo, endereço de cobrança, endereço de entrega, endereço IP, contas de redes sociais, número de telefone, ano de nascimento e os 4 últimos dígitos do cartão de crédito

Mensagem que a FlightAware enviou aos usuários

  • Em 25 de julho, foi descoberta uma falha de configuração que pode ter exposto acidentalmente informações pessoais das contas da FlightAware
  • As informações expostas podem ter incluído, além de ID de usuário, senha e endereço de e-mail, nome completo, endereço de cobrança, endereço de entrega, endereço IP, contas de redes sociais, número de telefone, ano de nascimento, os 4 últimos dígitos do cartão de crédito, informações sobre aeronaves de propriedade do usuário, setor, cargo, se a pessoa é piloto e atividade da conta (voos consultados, comentários publicados etc.)
  • Assim que a exposição foi descoberta, a falha de configuração foi corrigida imediatamente e, por precaução adicional, está sendo exigida a redefinição de senha de todos os usuários potencialmente afetados

Conclusão

  • Não está claro por que é tão difícil para essas empresas evitar que dados de clientes fiquem expostos na web pública
  • A FlightAware violou a regulamentação de proteção ao consumidor da UE, que exige notificar os usuários sobre potenciais vazamentos de dados em até 72 horas, e demorou mais de 3 semanas

Opinião do GN⁺

  • Incidentes de vazamento de dados reforçam mais uma vez a importância da privacidade e da cibersegurança. As empresas precisam se esforçar mais para proteger com segurança os dados dos clientes
  • Especialmente no caso de empresas relacionadas à aviação, como a FlightAware, o vazamento de dados de clientes pode gerar ameaças graves à segurança. Por exemplo, terroristas podem explorar indevidamente informações de passageiros
  • Em caso de incidente de vazamento de dados, uma resposta rápida e transparente é essencial. A FlightAware violou as regras da UE ao não avisar os usuários em tempo hábil. Isso pode prejudicar a credibilidade da empresa
  • Os clientes devem seguir práticas básicas de segurança para proteger suas informações pessoais, como usar senhas fortes e trocá-las periodicamente. Também devem ter cuidado com e-mails ou links suspeitos
  • As empresas devem adotar diversas medidas técnicas e administrativas de segurança, como criptografia de dados, controle de acesso e monitoramento em tempo real. Também é necessário preparo organizacional, incluindo treinamento de segurança para funcionários e elaboração de manuais de resposta a crises

Leituras relacionadas

1 comentários

 
GN⁺ 2024-08-19
Opiniões no Hacker News
  • Vazamento de dados pessoais: além de nome, e-mail e senha, também inclui nome completo, endereço de cobrança, endereço de entrega, endereço IP, contas de redes sociais, número de telefone, data de nascimento, últimos 4 dígitos do cartão de crédito, informações sobre aeronaves de propriedade do usuário, ocupação, se a pessoa é piloto e atividade da conta
  • Fim do suporte ao app iOS do FlightAware: fim do suporte ao iOS 15, exigindo que usuários comprem um celular novo, enquanto outros apps ainda funcionam em dispositivos antigos
  • Verificação da autenticidade do e-mail: menciona vazamento de senha, não está claro se estava com hash, e levou 3 semanas para o e-mail de aviso ser enviado
  • Possibilidade de vazamento de senhas em texto puro: possível vazamento de senhas sem hash, grande dano aos usuários, algo facilmente evitável
    • Edição: alguém afirma que as senhas eram armazenadas com hash
  • Mudança de stack tecnológica: há 8 meses foi publicado no TCL um post de blog sobre a mudança de stack tecnológica, mas não foi possível encontrar a Parte 2
  • Links adicionais: foram fornecidos links para matérias sobre o vazamento e para um tuíte de resposta automática
  • Responsabilidade da diretoria: a diretoria deve ser responsabilizada
  • Verificação de informações pessoais: uso uma conta gratuita do FlightAware e quero saber quais informações pessoais/de cobrança eles têm além do e-mail
  • Exigência de notificação do GDPR: em caso de vazamento de dados pessoais, a autoridade supervisora deve ser notificada em até 72 horas, e os usuários devem ser avisados sem demora; o aviso do FlightAware após 3 semanas é problemático
  • Sem aviso no site: o aviso foi publicado apenas no Discourse oficial