Filtración de datos de clientes de FlightAware (nombres, direcciones de correo y contraseñas)

 (loyaltylobby.com)
1 puntos por GN⁺ 2024-08-19 | 1 comentarios | Compartir por WhatsApp
  • FlightAware se suma a la lista de empresas que aparentemente no lograron proteger de forma segura los datos de sus usuarios y terminaron exponiéndolo todo
  • Según un correo que FlightAware envió ayer, casi todos los datos de los clientes podrían haber quedado potencialmente expuestos, incluidos ID de usuario, contraseñas, direcciones de correo, nombres completos, direcciones de facturación, direcciones de envío, direcciones IP, cuentas de redes sociales, números de teléfono, año de nacimiento y los últimos 4 dígitos del número de tarjeta de crédito

Mensaje que FlightAware envió a los usuarios

  • El 25 de julio, descubrieron un error de configuración que pudo haber expuesto por accidente información personal de las cuentas de FlightAware
  • La información expuesta pudo haber incluido, además de ID de usuario, contraseñas y direcciones de correo, nombres completos, direcciones de facturación, direcciones de envío, direcciones IP, cuentas de redes sociales, números de teléfono, año de nacimiento, los últimos 4 dígitos del número de tarjeta de crédito, información sobre aeronaves en propiedad, industria, cargo, si la persona es piloto y actividad de la cuenta (vuelos consultados, comentarios publicados, etc.)
  • Tan pronto como detectaron la exposición, corrigieron de inmediato el error de configuración y, como medida adicional de precaución, están exigiendo un restablecimiento de contraseña a todos los usuarios potencialmente afectados

Conclusión

  • No entiendo por qué a estas empresas les resulta tan difícil evitar que los datos de sus clientes queden expuestos en la web pública
  • FlightAware violó la normativa de protección al consumidor de la UE, que exige notificar a los usuarios sobre una posible filtración de datos en un plazo de 72 horas, y tardó más de 3 semanas

Opinión de GN⁺

  • Este incidente de filtración de datos vuelve a recordarnos la importancia de la privacidad y la ciberseguridad. Las empresas deben esforzarse más por proteger de forma segura los datos de sus clientes
  • Especialmente en el caso de una empresa vinculada a la aviación como FlightAware, una filtración de datos de clientes puede generar amenazas de seguridad graves. Por ejemplo, terroristas podrían abusar de la información de los pasajeros
  • Cuando ocurre una filtración de datos, es importante responder con rapidez y transparencia. FlightAware violó la normativa de la UE al no informar a los usuarios a tiempo. Esto puede dañar la credibilidad de la empresa
  • Los clientes deben seguir prácticas básicas de seguridad para proteger su información personal, como usar contraseñas fuertes y cambiarlas periódicamente. También deben tener cuidado con correos o enlaces sospechosos
  • Las empresas deben aplicar diversas medidas de seguridad técnicas y administrativas, como cifrado de datos, control de acceso y monitoreo en tiempo real. Además, también hace falta preparación a nivel organizacional, como capacitación de seguridad para el personal y manuales de respuesta ante crisis

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-08-19
Opiniones en Hacker News
  • Filtración de datos personales: además del nombre, correo electrónico y contraseña, también se incluyen nombre completo, dirección de facturación, dirección de envío, dirección IP, cuentas de redes sociales, número de teléfono, fecha de nacimiento, últimos 4 dígitos de la tarjeta de crédito, información sobre aeronaves en propiedad, ocupación, si la persona es piloto y actividad de la cuenta
  • Fin del soporte de la app de FlightAware para iOS: dejó de ser compatible con iOS 15, obligando a los usuarios a comprar un teléfono nuevo, mientras que otras apps todavía funcionan en dispositivos antiguos
  • Verificación de la autenticidad del correo: se menciona la filtración de contraseñas, no está claro si estaban hasheadas, y tardaron 3 semanas en enviar el correo de aviso
  • Posible filtración de contraseñas en texto plano: existe la posibilidad de que se hayan filtrado contraseñas sin hash, lo que causa un gran perjuicio a los usuarios y era algo fácil de prevenir
    • Edición: alguien afirma que las contraseñas se almacenaban con hash
  • Cambio de stack tecnológico: hace 8 meses publicaron en TCL un blog sobre un cambio de stack tecnológico, pero no se puede encontrar la Parte 2
  • Enlaces adicionales: se comparten enlaces a artículos sobre la filtración y a un tuit de respuesta automática
  • Responsabilidad de la directiva: la dirección debe asumir la responsabilidad
  • Verificación de datos personales: uso una cuenta gratuita de FlightAware y me pregunto qué información personal o de facturación tienen además del correo electrónico
  • Requisitos de notificación del GDPR: cuando hay una filtración de datos personales, se debe notificar a la autoridad supervisora dentro de 72 horas y a los usuarios sin demora; el aviso con 3 semanas de retraso por parte de FlightAware es problemático
  • Sin aviso en el sitio web: el aviso solo se publicó en el Discourse oficial