Filtración de datos de clientes de FlightAware: nombres, direcciones de correo y contraseñas pudieron quedar expuestos
(loyaltylobby.com)- FlightAware pidió a los usuarios potencialmente afectados restablecer su contraseña debido a una posible exposición de datos personales de cuentas por un error de configuración detectado el 25 de julio de 2024
- La información que pudo quedar expuesta incluye ID de usuario, contraseña y dirección de correo electrónico, y según los datos ingresados por cada usuario también podría incluir nombre, dirección, IP, teléfono, año de nacimiento y los últimos 4 dígitos de la tarjeta de crédito
- La empresa corrigió el error de configuración tras detectar el problema, y los usuarios pueden recibir una indicación para restablecer la contraseña en su próximo inicio de sesión o usar el enlace de restablecimiento de cuenta
- La notificación aclara que la demora del aviso no se debió a una investigación de las fuerzas del orden, y las consultas sobre privacidad se atienden en privacy@flightaware.com o por correo postal al responsable de Privacy en Houston
- Al 16 de agosto de 2024, la notificación se realizó más de 3 semanas después de la fecha de detección, y el texto original lo evalúa como una infracción al requisito de notificación de 72 horas de la UE
Posible exposición de información de cuentas por un error de configuración
- FlightAware informó a los usuarios por correo electrónico sobre un incidente de seguridad de datos en el que información personal de cuentas pudo haber quedado expuesta
- El incidente está relacionado con un error de configuración detectado el 25 de julio de 2024
- Todos los usuarios potencialmente afectados deben restablecer su contraseña
- Los usuarios recibirán una indicación para restablecer la contraseña en su próximo inicio de sesión en FlightAware o pueden usar el enlace de restablecimiento de cuenta
Información que pudo quedar expuesta
- La información cuya posible exposición se mencionó de forma básica es la siguiente
- ID de usuario
- Contraseña
- Dirección de correo electrónico
- Según la información que el usuario haya proporcionado en su cuenta, también podrían incluirse elementos adicionales
- Nombre completo
- Dirección de facturación
- Dirección de envío
- Dirección IP
- Cuenta de redes sociales
- Número de teléfono
- Año de nacimiento
- Últimos 4 dígitos del número de tarjeta de crédito
- Información relacionada con aeronaves en propiedad
- Industria
- Cargo
- Si es piloto o no
- Actividad de la cuenta, por ejemplo vuelos consultados y comentarios publicados
Respuesta de FlightAware y canales de contacto
- FlightAware corrigió de inmediato el error de configuración después de detectar la posible exposición
- Todos los usuarios potencialmente afectados deben completar el restablecimiento de contraseña
- La notificación especifica que este aviso no se retrasó por una investigación de las fuerzas del orden
- Los contactos para soporte adicional relacionado con privacidad son los siguientes
- Correo electrónico: privacy@flightaware.com
- Correo postal: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046
Retraso en la notificación y controversia regulatoria
- La fecha de detección del incidente fue el 25 de julio de 2024
- Se indica que la notificación a los usuarios fue enviada el día anterior a la publicación del 16 de agosto de 2024
- El texto original evalúa que FlightAware infringió la normativa de protección al consumidor de la UE que exige informar a los usuarios dentro de 72 horas sobre una posible filtración de datos
- El punto crítico sigue siendo que pasaron más de 3 semanas entre el descubrimiento y la notificación
Qué deben revisar los usuarios
- Los usuarios de cuentas de FlightAware deben realizar el restablecimiento de contraseña en su próximo inicio de sesión
- Como entre los datos potencialmente expuestos se incluyen la contraseña y la dirección de correo electrónico, quienes usen la misma contraseña en otros servicios necesitan una revisión adicional
- El canal oficial de consultas de privacidad de FlightAware es privacy@flightaware.com
1 comentarios
Opiniones en Hacker News
El título está incompleto, o casi llega a ser engañoso. La información filtrada es mucho más que nombres, correos electrónicos y contraseñas:
Según la información que hayan proporcionado, podría haber incluido nombre completo, dirección de facturación, dirección de envío, dirección IP, cuentas de redes sociales, número de teléfono, año de nacimiento, últimos 4 dígitos de la tarjeta de crédito, información sobre aeronaves propias, sector, cargo, si son pilotos o no, y actividad de la cuenta (como vuelos consultados y comentarios escritos)
Suena a que casi toda la información vinculada al perfil se vio afectada. Por suerte, hasta donde recuerdo no usaba esa cuenta por separado, y usé un correo desechable y una contraseña desechable
La app de iOS de FlightAware también acaba de dejar de dar soporte a iOS 15 y, en vez de permitir que la app existente siga funcionando, les muestra a los usuarios de iOS 15 un modal de pantalla completa diciéndoles básicamente que compren un teléfono nuevo, bloqueando el uso de una app que funcionaba bien hasta la semana pasada
Todas las demás apps en mi teléfono siguen funcionando con elegancia incluso en dispositivos viejos, pero esta no. Esto no tiene ningún sentido y no es la forma en que una app normal maneja la compatibilidad hacia atrás. Sus desarrolladores parecen payasos que no saben lo que hacen
Para dar soporte a ese dispositivo probablemente tendrían que seguir manteniendo una versión antigua de la webapp, y eso no es gratis. Haber soportado dispositivos durante 7 años en una app gratuita ya es bastante tiempo, y con iOS 18 a la vuelta de la esquina, dejar de dar soporte se vuelve cada vez más razonable
Puedo confirmar que el correo es real. Yo también lo recibí. Es importante que hayan mencionado filtración de contraseñas
No dijeron si estaban hasheadas ni, de ser así, si tenían salt, y tampoco pude encontrar una publicación en el blog. Que el correo de notificación haya tardado más de 3 semanas no impresiona
El contenido del correo suena, en general, a lo que había en la tabla de cuentas de usuario, pero no creo que los últimos 4 dígitos de la tarjeta de crédito estuvieran ahí. Y el hecho de que hayan escrito “contraseñas” y no “contraseñas con salt/hash” me hace pensar que hubo algo más
Se me ocurre que esto podría ser un problema de Apache o Apache Rivet, y que quizá interceptaron todo lo que se enviaba al servidor. Entonces, si alguien inició sesión durante ese periodo, podría incluir la contraseña real; si compró algo, hasta la información de la tarjeta de crédito
Rivet tenía muchas trampas peligrosas. Si mal no recuerdo, las variables permanecían durante el ciclo de vida del proceso hijo de Apache, así que si no las borrabas manualmente podían ser accesibles en la siguiente solicitud. Si alguien eliminó o no ejecutó un procedimiento enorme de “borrar todas las variables que probablemente configuramos”, y además alguien pudo obtener la salida de
info var, habría podido ver todos los valores configurados de la solicitud anterior, o de solicitudes más antiguas que no hubieran sido sobrescritas. La información de usuario también se guardaba en un gran arreglo globaluserHace 8 meses FlightAware publicó en su blog que estaba migrando desde TCL toda su pila tecnológica. El título del artículo es “Managing a Technical Transformation (Part 1)”, pero no pude encontrar la parte 2
https://flightaware.engineering/managing-a-technical-transfo...
Algunos enlaces adicionales:
https://www.404media.co/flightaware-exposed-pilots-and-users...
La respuesta automática que llega al responder el correo:
https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...
Como en ninguna parte del artículo dice que las contraseñas estuvieran “hasheadas”, uno termina asumiendo que se filtraron contraseñas en texto plano
Esto es 100 veces peor que todas las demás filtraciones de datos juntas. Puede ser devastador para los usuarios y, para empezar, se puede prevenir fácilmente si no se almacenan en texto plano
Edición: alguien dice que las contraseñas almacenadas sí estaban hasheadas [1]. Ojalá tenga razón
[1] https://news.ycombinator.com/item?id=41278855
Ya es hora de que la dirección asuma la responsabilidad. Al fin y al cabo, la mencionan con tanta frecuencia cuando negocian sus sueldos
Todavía no hay nada en el sitio web. Solo está publicado en el Discourse oficial:
https://discussions.flightaware.com/t/closing-account-due-th...
Tengo una cuenta gratuita de FlightAware y alguna vez compré, a través de Apple, una compra dentro de la app para quitar anuncios. Me pregunto qué información personal o de facturación tienen realmente sobre mí, además de mi dirección de correo electrónico