Fuite de données clients chez FlightAware (noms, adresses e-mail et mots de passe)

 (loyaltylobby.com)
1 points par GN⁺ 2024-08-19 | 1 commentaires | Partager sur WhatsApp
  • FlightAware rejoint la liste des entreprises qui semblent ne pas avoir réussi à protéger en toute sécurité les données de leurs utilisateurs et à avoir tout exposé
  • Selon l’e-mail envoyé hier par FlightAware, presque toutes les données clients ont potentiellement pu être exposées, notamment l’identifiant utilisateur, le mot de passe, l’adresse e-mail, le nom complet, l’adresse de facturation, l’adresse de livraison, l’adresse IP, les comptes de réseaux sociaux, le numéro de téléphone, l’année de naissance et les 4 derniers chiffres du numéro de carte bancaire

Message envoyé par FlightAware à ses utilisateurs

  • Le 25 juillet, l’entreprise a découvert une erreur de configuration susceptible d’avoir exposé par inadvertance des informations personnelles de comptes FlightAware
  • Les informations exposées pouvaient inclure, au-delà de l’identifiant utilisateur, du mot de passe et de l’adresse e-mail, le nom complet, l’adresse de facturation, l’adresse de livraison, l’adresse IP, les comptes de réseaux sociaux, le numéro de téléphone, l’année de naissance, les 4 derniers chiffres du numéro de carte bancaire, des informations sur les aéronefs possédés, le secteur d’activité, le poste occupé, le fait d’être pilote ou non, ainsi que l’activité du compte (vols consultés, commentaires publiés, etc.)
  • Dès la découverte de l’exposition, l’erreur de configuration a été immédiatement corrigée, et par mesure de précaution supplémentaire, tous les utilisateurs potentiellement affectés doivent réinitialiser leur mot de passe

Conclusion

  • Il est difficile de comprendre pourquoi il est si compliqué pour ces entreprises d’éviter que les données clients ne soient exposées sur le Web public
  • FlightAware a enfreint les règles européennes de protection des consommateurs qui imposent d’informer les utilisateurs d’une fuite potentielle de données dans les 72 heures, et a mis plus de 3 semaines à le faire

Avis de GN⁺

  • Cet incident de fuite de données rappelle une fois de plus l’importance de la protection de la vie privée et de la cybersécurité. Les entreprises doivent faire davantage d’efforts pour protéger en toute sécurité les données de leurs clients
  • Dans le cas d’entreprises liées à l’aviation comme FlightAware en particulier, une fuite de données clients peut entraîner de graves menaces de sécurité. Par exemple, des terroristes pourraient détourner des informations sur les passagers à des fins malveillantes
  • En cas de fuite de données, une réponse rapide et transparente est essentielle. FlightAware a violé la réglementation de l’UE en n’informant pas les utilisateurs en temps voulu. Cela peut nuire à la crédibilité de l’entreprise
  • Les clients doivent respecter les règles de base de sécurité, comme utiliser des mots de passe robustes et les changer régulièrement, afin de protéger leurs informations personnelles. Ils doivent aussi se méfier des e-mails ou liens suspects
  • Les entreprises doivent mettre en place diverses mesures de sécurité techniques et organisationnelles, comme le chiffrement des données, le contrôle des accès et la surveillance en temps réel. Une préparation à l’échelle de l’organisation est également nécessaire, notamment via la formation à la sécurité des employés et la mise en place de manuels de réponse de crise

À lire aussi

1 commentaires

 
GN⁺ 2024-08-19
Avis sur Hacker News
  • Fuite de données personnelles : en plus du nom, de l’e-mail et du mot de passe, cela inclut aussi le nom complet, l’adresse de facturation, l’adresse de livraison, l’adresse IP, les comptes de réseaux sociaux, le numéro de téléphone, la date de naissance, les 4 derniers chiffres de la carte bancaire, les informations sur les avions possédés, la profession, le fait d’être pilote ou non, l’activité du compte, etc.
  • Fin de prise en charge de l’app iOS de FlightAware : arrêt du support d’iOS 15, obligeant les utilisateurs à acheter un nouveau téléphone, alors que d’autres apps fonctionnent encore sur des appareils plus anciens
  • Vérification de l’authenticité de l’e-mail : mention d’une fuite de mot de passe, sans précision sur le fait qu’il soit haché ou non, et 3 semaines ont été nécessaires avant l’envoi de l’e-mail de notification
  • Possibilité d’une fuite de mots de passe en clair : il pourrait s’agir de mots de passe non hachés, ce qui causerait un préjudice important aux utilisateurs alors que cela aurait pu être facilement évité
    • Édition : quelqu’un affirme que les mots de passe sont stockés sous forme hachée
  • Changement de stack technique : publication d’un billet de blog il y a 8 mois sur un changement de stack technique depuis TCL, mais impossible de trouver la partie 2
  • Liens supplémentaires : liens fournis vers des articles sur la fuite et vers un tweet de réponse automatique
  • Responsabilité de la direction : la direction doit être tenue pour responsable
  • Vérification des informations personnelles : utilisation d’un compte gratuit FlightAware, interrogation sur les informations personnelles ou de facturation conservées en dehors de l’e-mail
  • Exigences de notification du RGPD : en cas de fuite de données personnelles, l’autorité de contrôle doit être informée dans les 72 heures, et les utilisateurs doivent l’être sans délai ; le retard de 3 semaines de FlightAware pose donc problème
  • Aucune annonce sur le site web : annonce publiée uniquement sur le Discourse officiel