1 pontos por GN⁺ 2024-08-19 | 1 comentários | Compartilhar no WhatsApp
  • A FlightAware exigiu a redefinição de senha de usuários potencialmente afetados, pois um erro de configuração descoberto em 25 de julho de 2024 pode ter exposto dados pessoais de contas
  • As informações possivelmente expostas incluem ID de usuário, senha e endereço de e-mail; dependendo das informações inseridas pelo usuário, também podem incluir nome, endereço, endereço IP, telefone, ano de nascimento e os últimos 4 dígitos do cartão de crédito
  • A empresa corrigiu o erro de configuração após identificar o problema, e os usuários receberão uma orientação para redefinir a senha no próximo login ou poderão usar o link de redefinição da conta
  • O aviso afirma que o atraso na notificação não ocorreu por causa de uma investigação de órgãos de segurança pública, e dúvidas sobre privacidade podem ser encaminhadas para privacy@flightaware.com ou ao responsável por Privacidade no endereço de Houston
  • Em 16 de agosto de 2024, a notificação ocorreu mais de 3 semanas após a data de descoberta, e o texto original avalia isso como violação da exigência de notificação em 72 horas da UE

Possível exposição de informações de conta por erro de configuração

  • Em um e-mail enviado aos usuários, a FlightAware informou sobre um incidente de segurança de dados que pode ter exposto dados pessoais de contas
  • O incidente está relacionado a um erro de configuração descoberto em 25 de julho de 2024
  • Todos os usuários potencialmente afetados precisam redefinir suas senhas
  • Os usuários receberão um prompt de redefinição de senha no próximo login na FlightAware ou poderão usar o link de redefinição de conta

Informações que podem ter sido expostas

  • As informações mencionadas como possivelmente expostas por padrão são as seguintes
    • ID de usuário
    • Senha
    • Endereço de e-mail
  • Dependendo das informações fornecidas pelo usuário na conta, itens adicionais também podem estar incluídos
    • Nome completo
    • Endereço de cobrança
    • Endereço de entrega
    • Endereço IP
    • Contas de redes sociais
    • Número de telefone
    • Ano de nascimento
    • Últimos 4 dígitos do número do cartão de crédito
    • Informações relacionadas a aeronaves de propriedade do usuário
    • Setor de atuação
    • Cargo
    • Se é piloto
    • Atividade da conta, como voos consultados e comentários publicados

Resposta da FlightAware e canais de contato

  • A FlightAware corrigiu imediatamente o erro de configuração após descobrir a possibilidade de exposição
  • Todos os usuários potencialmente afetados devem concluir a redefinição de senha
  • O aviso afirma que esta notificação não foi atrasada por causa de uma investigação de órgãos de segurança pública
  • Os contatos para suporte adicional relacionado a privacidade são os seguintes
    • E-mail: privacy@flightaware.com
    • Correspondência: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046

Atraso na notificação e controvérsia regulatória

  • A data de descoberta do incidente foi 25 de julho de 2024
  • A notificação aos usuários foi descrita como tendo sido enviada no dia anterior à publicação de 16 de agosto de 2024
  • O texto original avalia que a FlightAware violou as regras de proteção ao consumidor da UE que exigem informar usuários sobre uma possível violação de dados em até 72 horas
  • O fato de terem se passado mais de 3 semanas entre a descoberta e a notificação continua sendo o ponto central do problema

Pontos que os usuários devem verificar

  • Usuários com conta na FlightAware devem realizar a redefinição de senha no próximo login
  • Como as informações possivelmente expostas incluem senha e endereço de e-mail, usuários que usam a mesma senha em outros serviços precisam fazer uma verificação separada
  • O canal oficial da FlightAware para dúvidas sobre privacidade é privacy@flightaware.com

1 comentários

 
GN⁺ 2024-08-19
Opiniões no Hacker News
  • O título está incompleto, ou quase chega a ser enganoso. As informações vazadas vão muito além de nome, e-mail e senha:
    Dependendo das informações fornecidas, pode ter incluído nome completo, endereço de cobrança, endereço de entrega, endereço IP, contas de redes sociais, número de telefone, ano de nascimento, últimos 4 dígitos do cartão de crédito, informações sobre aeronaves possuídas, setor de atuação, cargo, se a pessoa é piloto ou não e atividade da conta (como voos visualizados e comentários escritos).
    Parece que praticamente todas as informações vinculadas ao perfil foram afetadas. Felizmente, até onde me lembro, eu não usava a conta separadamente e usei um e-mail e uma senha descartáveis.

    • Parece um dump completo do banco de dados
    • Eu não queria interpretar o título por conta própria, mas tudo bem se o dang mudar o título
  • O app iOS da FlightAware também acabou de encerrar o suporte ao iOS 15 e, em vez de deixar o app existente continuar funcionando, passou a exibir para usuários do iOS 15 um modal em tela cheia dizendo, basicamente, para comprar um celular novo, impedindo o uso de um app que funcionava bem até a semana passada.
    Outros apps no meu celular continuam funcionando de forma elegante em dispositivos antigos, mas só este app faz isso. É completamente absurdo e não é assim que um app normal lida com compatibilidade retroativa. Os desenvolvedores deles parecem palhaços que não sabem o que estão fazendo.

    • É engraçada a ideia de que o desenvolvedor teve o direito de decidir o que suportar. Isso é claramente uma decisão de gestão, ou possivelmente uma decisão do CEO.
    • Para ser justo, o que você está usando é um aparelho de 8 anos, e o suporte da Apple foi encerrado há 2 anos. Alguns sites já podem não funcionar nele, e wrappers de apps de “serviços web” inevitavelmente podem ter limitações parecidas.
      Para dar suporte a esse dispositivo, provavelmente seria preciso manter uma versão antiga do webapp, e isso não sai de graça. Dar suporte a um dispositivo por 7 anos em um app gratuito já é bastante tempo e, com o iOS 18 chegando, encerrar o suporte se torna cada vez mais justificável.
  • Dá para confirmar que o e-mail é real. Eu também recebi. O ponto importante é que eles falaram em vazamento de senhas.
    Não mencionaram se elas estavam com hash nem, se estavam, se tinham salt, e também não consegui encontrar um post no blog. O fato de o e-mail de notificação ter levado mais de 3 semanas não impressiona.

    • Como alguém que trabalhou lá no passado, as senhas eram, com certeza, armazenadas no banco de dados com salt e hash.
      O conteúdo do e-mail parece, em grande parte, algo que estava na tabela de contas de usuário, mas eu não achava que os últimos 4 dígitos do cartão de crédito estivessem lá. E, como escreveram “senhas” em vez de “senhas com salt/hash”, parece que havia mais coisa.
      Também me ocorre que isso pode ter sido um problema no Apache ou no Apache Rivet, com a possibilidade de terem interceptado tudo o que foi enviado ao servidor. Nesse caso, se você fez login durante o período, a senha real poderia estar incluída; se comprou algo, os dados do cartão de crédito também.
      O Rivet tinha muitas armadilhas perigosas. Pelo que me lembro, variáveis permaneciam durante o ciclo de vida do processo filho do Apache, então, se você não as apagasse manualmente, elas ficavam acessíveis na próxima requisição. Se alguém apagou ou deixou de executar algum procedimento enorme do tipo “remover todas as variáveis que poderíamos ter definido”, e outra pessoa conseguiu obter a saída de info var, ela poderia ver todos os valores definidos na requisição anterior, ou até em requisições mais antigas que não tivessem sido sobrescritas. As informações do usuário também ficavam armazenadas em um grande array global user.
    • É interessante eu não ter recebido esse e-mail, embora tenha uma conta ativa (feed de dados ADS-B).
  • Há 8 meses, a FlightAware escreveu um post no blog dizendo que estava migrando sua stack tecnológica para fora do TCL. O título do texto é “Managing a Technical Transformation (Part 1)”, mas não consegui encontrar a Parte 2.
    https://flightaware.engineering/managing-a-technical-transfo...

  • Mais alguns links:
    https://www.404media.co/flightaware-exposed-pilots-and-users...
    Resposta automática recebida ao responder ao e-mail:
    https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
    https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...

  • Como em nenhum ponto do artigo está escrito que as senhas estavam “com hash”, fica a presunção de que senhas em texto puro vazaram.
    Isso é 100 vezes pior do que todos os outros vazamentos de dados somados. Pode ser devastador para os usuários e seria facilmente evitável se, desde o início, elas não fossem armazenadas em texto puro.
    Edit: alguém disse que as senhas armazenadas tinham hash [1]. Espero que isso esteja certo.
    [1] https://news.ycombinator.com/item?id=41278855

  • Está na hora de a diretoria assumir a responsabilidade. Afinal, eles invocam responsabilidade com tanta frequência na hora de negociar salário.

  • Ainda não há nada no site. Só está no Discourse oficial:
    https://discussions.flightaware.com/t/closing-account-due-th...

  • Tenho uma conta gratuita na FlightAware e, de vez em quando, comprei a remoção de anúncios via compra dentro do app pela Apple. Fico curioso para saber quais informações pessoais ou de cobrança eles realmente têm sobre mim além do meu endereço de e-mail.