1 points par GN⁺ 2024-08-19 | 1 commentaires | Partager sur WhatsApp
  • FlightAware demande aux utilisateurs potentiellement concernés de réinitialiser leur mot de passe, car une erreur de configuration découverte le 25 juillet 2024 a pu exposer des informations personnelles de compte
  • Les données potentiellement exposées incluent l’identifiant utilisateur, le mot de passe et l’adresse e-mail, ainsi que, selon les informations saisies par l’utilisateur, le nom, l’adresse, l’adresse IP, le numéro de téléphone, l’année de naissance et jusqu’aux 4 derniers chiffres de la carte bancaire
  • L’entreprise a corrigé l’erreur de configuration après sa découverte, et les utilisateurs recevront une invite de réinitialisation du mot de passe lors de leur prochaine connexion ou pourront utiliser le lien de réinitialisation du compte
  • La notification précise que le retard de l’alerte n’est pas dû à une enquête des forces de l’ordre, et les questions relatives à la vie privée peuvent être adressées à privacy@flightaware.com ou au responsable Privacy à l’adresse de Houston
  • Au 16 août 2024, la notification est intervenue plus de 3 semaines après la découverte, et le texte source estime qu’il s’agit d’une violation de l’obligation européenne de notification sous 72 heures

Exposition potentielle des informations de compte en raison d’une erreur de configuration

  • FlightAware a informé ses utilisateurs, dans un e-mail, d’un incident de sécurité des données ayant potentiellement exposé des informations personnelles de compte
  • L’incident est lié à une erreur de configuration découverte le 25 juillet 2024
  • Tous les utilisateurs potentiellement concernés doivent réinitialiser leur mot de passe
  • Les utilisateurs recevront une invite de réinitialisation du mot de passe lors de leur prochaine connexion à FlightAware, ou peuvent utiliser le lien de réinitialisation du compte

Informations susceptibles d’avoir été exposées

  • Les informations mentionnées comme potentiellement exposées sont, par défaut, les suivantes
    • Identifiant utilisateur
    • Mot de passe
    • Adresse e-mail
  • Selon les informations fournies par l’utilisateur dans son compte, des éléments supplémentaires peuvent également être concernés
    • Nom complet
    • Adresse de facturation
    • Adresse de livraison
    • Adresse IP
    • Comptes de réseaux sociaux
    • Numéro de téléphone
    • Année de naissance
    • 4 derniers chiffres de la carte bancaire
    • Informations relatives à l’aéronef possédé
    • Secteur d’activité
    • Intitulé du poste
    • Statut de pilote
    • Activité du compte, par exemple les vols consultés et les commentaires publiés

Réponse de FlightAware et canaux de contact

  • FlightAware a immédiatement corrigé l’erreur de configuration après avoir découvert l’exposition potentielle
  • Tous les utilisateurs potentiellement concernés doivent effectuer une réinitialisation de leur mot de passe
  • La notification précise que cette alerte n’a pas été retardée en raison d’une enquête des forces de l’ordre
  • Les coordonnées pour obtenir une aide supplémentaire concernant la vie privée sont les suivantes
    • E-mail : privacy@flightaware.com
    • Courrier : FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046

Retard de notification et controverse réglementaire

  • La date de découverte de l’incident est le 25 juillet 2024
  • La notification aux utilisateurs est présentée comme ayant été envoyée la veille, à la date de publication du 16 août 2024
  • Le texte source estime que FlightAware a enfreint la réglementation européenne de protection des consommateurs imposant d’informer les utilisateurs sous 72 heures en cas de violation potentielle de données
  • Le point central reste le délai de plus de 3 semaines entre la découverte et la notification

Points à vérifier pour les utilisateurs

  • Les utilisateurs d’un compte FlightAware devront procéder à une réinitialisation du mot de passe lors de leur prochaine connexion
  • Comme les données potentiellement exposées incluent le mot de passe et l’adresse e-mail, les utilisateurs qui réutilisent le même mot de passe sur d’autres services doivent effectuer des vérifications séparées
  • Le canal officiel de contact de FlightAware pour les questions relatives à la vie privée est privacy@flightaware.com

1 commentaires

 
GN⁺ 2024-08-19
Avis sur Hacker News
  • Le titre est incomplet, voire presque trompeur. Les informations exposées sont bien plus nombreuses que le nom, l’adresse e-mail et le mot de passe :
    selon les données fournies, cela pourrait inclure le nom complet, l’adresse de facturation, l’adresse de livraison, l’adresse IP, les comptes sur les réseaux sociaux, le numéro de téléphone, l’année de naissance, les 4 derniers chiffres de la carte bancaire, les informations sur les aéronefs possédés, le secteur d’activité, l’intitulé du poste, le fait d’être pilote ou non, ainsi que l’activité du compte (vols consultés et commentaires publiés, entre autres)
    On dirait que presque toutes les informations liées au profil ont été affectées. Heureusement, de mémoire, je n’utilisais pas ce compte de manière distincte, et j’avais mis une adresse e-mail jetable et un mot de passe jetable

    • On dirait un dump complet de la base de données
    • Je ne voulais pas interpréter le titre de manière arbitraire, mais ça ne me dérangerait pas que dang le modifie
  • L’app iOS de FlightAware vient aussi d’abandonner la prise en charge d’iOS 15, mais au lieu de laisser continuer à fonctionner l’ancienne app, ils affichent aux utilisateurs d’iOS 15 une fenêtre modale plein écran leur disant en gros d’acheter un nouveau téléphone, ce qui bloque l’usage d’une app qui marchait encore très bien jusqu’à la semaine dernière
    Les autres apps sur mon téléphone continuent à fonctionner proprement sur du vieux matériel, mais pas celle-ci. C’est totalement absurde, et ce n’est pas comme ça qu’une app normale gère la rétrocompatibilité. Leurs développeurs ont l’air de clowns qui ne savent pas ce qu’ils font

    • L’idée que les développeurs aient eu le pouvoir de décider quoi prendre en charge est amusante. C’est clairement une décision du management, ou probablement du CEO
    • Pour être juste, l’appareil que j’utilise a 8 ans, et Apple a arrêté le support il y a 2 ans. Il est probablement déjà possible que certains sites web ne fonctionnent plus, et une app qui n’est qu’un wrapper de “service web” ne peut qu’avoir des limites similaires
      Pour prendre en charge cet appareil, il faudrait sans doute continuer à maintenir l’ancienne version de la web app, et ce n’est pas gratuit. Assurer 7 ans de support matériel pour une app gratuite, c’est déjà long, et avec iOS 18 qui arrive, l’arrêt du support devient de plus en plus défendable
  • On peut confirmer que l’e-mail est authentique. Je l’ai reçu aussi. Le fait qu’ils parlent d’une fuite de mot de passe est important
    Ils ne disent pas s’il était haché, ni s’il y avait un salt si c’était le cas, et je n’ai pas trouvé de billet de blog non plus. Le fait qu’il leur ait fallu plus de 3 semaines pour envoyer la notification n’est pas très impressionnant

    • Pour y avoir travaillé autrefois, les mots de passe étaient bien stockés dans la base de données sous forme de hash salé
      Le contenu de l’e-mail ressemble globalement à ce qu’il y avait dans la table des comptes utilisateurs, mais je ne pensais pas que les 4 derniers chiffres de la carte bancaire s’y trouvaient. Et le fait qu’ils aient écrit “mot de passe” plutôt que “mot de passe salé/haché” laisse penser qu’il y avait peut-être davantage
      Ça fait aussi penser à un problème avec Apache ou Apache Rivet qui aurait pu intercepter tout ce qui était envoyé au serveur. Dans ce cas, si vous vous êtes connecté pendant cette période, cela pourrait inclure le vrai mot de passe, et si vous avez acheté quelque chose, potentiellement aussi les informations de carte bancaire
      Rivet était plein de pièges dangereux. Si je me souviens bien, les variables persistaient pendant toute la durée de vie des processus enfants d’Apache, donc si on ne les effaçait pas explicitement, elles restaient accessibles à la requête suivante. Si quelqu’un avait supprimé ou n’exécutait pas une énorme procédure du genre “supprimer toutes les variables qu’on a probablement définies”, et que quelqu’un d’autre pouvait obtenir la sortie de info var, il aurait pu voir toutes les valeurs définies par la requête précédente, ou par des requêtes plus anciennes pas encore écrasées. Les informations utilisateur étaient aussi stockées dans un grand tableau global user
    • Il est intéressant de noter que je n’ai pas reçu cet e-mail alors que j’ai un compte actif (flux de données ADS-B)
  • Il y a 8 mois, FlightAware a publié un billet de blog disant qu’ils migraient toute leur stack technique hors de TCL. Le billet s’intitule “Managing a Technical Transformation (Part 1)”, mais je n’ai pas trouvé de Part 2
    https://flightaware.engineering/managing-a-technical-transfo...

  • Quelques liens supplémentaires :
    https://www.404media.co/flightaware-exposed-pilots-and-users...
    La réponse automatique reçue quand on répond à l’e-mail :
    https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
    https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...

  • Nulle part dans l’article il n’est indiqué que les mots de passe étaient “hachés”, ce qui conduit à supposer qu’il s’agit de mots de passe en clair
    C’est 100 fois pire que toutes les autres fuites de données réunies. Cela peut être catastrophique pour les utilisateurs, alors qu’il aurait été facile de l’éviter en ne les stockant pas en clair dès le départ
    Correction : quelqu’un dit que les mots de passe stockés étaient hachés [1]. J’espère que c’est vrai
    [1] https://news.ycombinator.com/item?id=41278855

  • C’est maintenant au tour de la direction d’assumer ses responsabilités. Elle aime tellement parler de responsabilité quand il s’agit de négocier les salaires

  • Il n’y a encore rien sur le site web. C’est seulement publié sur le Discourse officiel :
    https://discussions.flightaware.com/t/closing-account-due-th...

  • J’ai un compte gratuit FlightAware et j’ai occasionnellement acheté via Apple l’achat intégré pour supprimer les publicités. Je me demande quelles informations personnelles ou de facturation ils ont réellement sur moi, en dehors de mon adresse e-mail