1 คะแนน โดย GN⁺ 2024-08-19 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • FlightAware ระบุว่าเนื่องจาก ข้อผิดพลาดในการตั้งค่า ที่พบเมื่อวันที่ 25 กรกฎาคม 2024 อาจทำให้ข้อมูลส่วนบุคคลของบัญชีถูกเปิดเผย และกำหนดให้ผู้ใช้ที่อาจได้รับผลกระทบต้อง รีเซ็ตรหัสผ่าน
  • ข้อมูลที่อาจถูกเปิดเผยรวมถึง ID ผู้ใช้ รหัสผ่าน และที่อยู่อีเมล และขึ้นอยู่กับข้อมูลที่ผู้ใช้กรอก อาจรวมถึงชื่อ ที่อยู่ IP หมายเลขโทรศัพท์ ปีเกิด และเลข 4 หลักสุดท้ายของบัตรเครดิต
  • บริษัทแก้ไขข้อผิดพลาดในการตั้งค่าหลังพบปัญหาแล้ว และผู้ใช้จะได้รับคำแนะนำให้รีเซ็ตรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป หรือสามารถใช้ลิงก์รีเซ็ตบัญชีได้
  • ในประกาศระบุว่าความล่าช้าในการแจ้งเตือนไม่ได้เกิดจาก การสอบสวนของหน่วยงานบังคับใช้กฎหมาย และรับคำถามเกี่ยวกับข้อมูลส่วนบุคคลผ่าน privacy@flightaware.com หรือผู้รับผิดชอบด้าน Privacy ตามที่อยู่ใน Houston
  • ณ วันที่ 16 สิงหาคม 2024 การแจ้งเตือนเกิดขึ้นหลังจากวันที่พบเหตุการณ์ไปแล้ว มากกว่า 3 สัปดาห์ และต้นฉบับประเมินว่าเป็นการละเมิด ข้อกำหนดการแจ้งเตือนภายใน 72 ชั่วโมง ของ EU

ความเป็นไปได้ที่ข้อมูลบัญชีถูกเปิดเผยจากข้อผิดพลาดในการตั้งค่า

  • FlightAware แจ้งผู้ใช้ผ่านอีเมลเกี่ยวกับ เหตุการณ์ด้านความปลอดภัยของข้อมูล ที่อาจทำให้ข้อมูลส่วนบุคคลของบัญชีถูกเปิดเผย
  • เหตุการณ์นี้เกี่ยวข้องกับ ข้อผิดพลาดในการตั้งค่า ที่พบเมื่อวันที่ 25 กรกฎาคม 2024
  • ผู้ใช้ทุกคนที่อาจได้รับผลกระทบต้องรีเซ็ตรหัสผ่าน
  • ผู้ใช้จะได้รับพรอมป์ให้รีเซ็ตรหัสผ่านเมื่อเข้าสู่ระบบ FlightAware ครั้งถัดไป หรือใช้ ลิงก์รีเซ็ตบัญชี ได้

ข้อมูลที่อาจถูกเปิดเผย

  • โดยพื้นฐานแล้ว ข้อมูลที่ระบุว่าอาจถูกเปิดเผยมีดังนี้
    • ID ผู้ใช้
    • รหัสผ่าน
    • ที่อยู่อีเมล
  • อาจรวมรายการเพิ่มเติมตามข้อมูลที่ผู้ใช้ให้ไว้ในบัญชี
    • ชื่อ-นามสกุล
    • ที่อยู่สำหรับเรียกเก็บเงิน
    • ที่อยู่สำหรับจัดส่ง
    • ที่อยู่ IP
    • บัญชีโซเชียลมีเดีย
    • หมายเลขโทรศัพท์
    • ปีเกิด
    • เลข 4 หลักสุดท้ายของหมายเลขบัตรเครดิต
    • ข้อมูลเกี่ยวกับอากาศยานที่เป็นเจ้าของ
    • อุตสาหกรรม
    • ตำแหน่งงาน
    • สถานะว่าเป็นนักบินหรือไม่
    • กิจกรรมของบัญชี เช่น เที่ยวบินที่ค้นดูและความคิดเห็นที่โพสต์

การตอบสนองของ FlightAware และช่องทางติดต่อ

  • FlightAware ระบุว่าได้ แก้ไขข้อผิดพลาดในการตั้งค่าทันที หลังพบความเป็นไปได้ของการเปิดเผยข้อมูล
  • ผู้ใช้ทุกคนที่อาจได้รับผลกระทบต้องรีเซ็ตรหัสผ่านให้เสร็จสิ้น
  • ในประกาศระบุว่าการแจ้งเตือนครั้งนี้ไม่ได้ล่าช้าเพราะการสอบสวนของหน่วยงานบังคับใช้กฎหมาย
  • ช่องทางติดต่อเพื่อขอความช่วยเหลือเพิ่มเติมเกี่ยวกับข้อมูลส่วนบุคคลมีดังนี้
    • อีเมล: privacy@flightaware.com
    • ไปรษณีย์: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046

ความล่าช้าในการแจ้งเตือนและข้อถกเถียงด้านกฎระเบียบ

  • วันที่พบเหตุการณ์คือ 25 กรกฎาคม 2024
  • มีการระบุว่าการแจ้งผู้ใช้ถูกส่งไปเมื่อวันก่อนหน้า นับจากเวลาที่เผยแพร่เมื่อวันที่ 16 สิงหาคม 2024
  • ต้นฉบับประเมินว่า FlightAware ละเมิด กฎคุ้มครองผู้บริโภคของ EU ที่ต้องแจ้งผู้ใช้ภายใน 72 ชั่วโมง เมื่ออาจเกิดการละเมิดข้อมูล
  • ประเด็นสำคัญที่ยังคงอยู่คือใช้เวลามากกว่า 3 สัปดาห์นับจากการพบเหตุการณ์จนถึงการแจ้งเตือน

สิ่งที่ผู้ใช้ควรตรวจสอบ

  • ผู้ใช้บัญชี FlightAware ควรดำเนินการ รีเซ็ตรหัสผ่าน เมื่อเข้าสู่ระบบครั้งถัดไป
  • เนื่องจากข้อมูลที่อาจถูกเปิดเผยรวมถึงรหัสผ่านและที่อยู่อีเมล ผู้ใช้ที่ใช้รหัสผ่านเดียวกันกับบริการอื่นควรตรวจสอบแยกต่างหาก
  • ช่องทางสอบถามข้อมูลส่วนบุคคลอย่างเป็นทางการของ FlightAware คือ privacy@flightaware.com

1 ความคิดเห็น

 
GN⁺ 2024-08-19
ความคิดเห็นจาก Hacker News
  • ชื่อเรื่องไม่ครบถ้วน หรือแทบจะทำให้เข้าใจผิดได้เลย ข้อมูลที่รั่วไหลมีมากกว่าชื่อ อีเมล และรหัสผ่านมาก:
    ขึ้นอยู่กับข้อมูลที่คุณให้ไว้ อาจรวมถึงชื่อเต็ม ที่อยู่สำหรับออกบิล ที่อยู่สำหรับจัดส่ง ที่อยู่ IP บัญชีโซเชียลมีเดีย หมายเลขโทรศัพท์ ปีเกิด เลข 4 หลักท้ายของบัตรเครดิต ข้อมูลเครื่องบินที่เป็นเจ้าของ ประเภทธุรกิจ ตำแหน่งงาน สถานะว่าเป็นนักบินหรือไม่ และกิจกรรมในบัญชี (เช่น เที่ยวบินที่ดูและความคิดเห็นที่เขียน)
    ฟังดูเหมือนแทบทุกข้อมูลที่เชื่อมกับโปรไฟล์ได้รับผลกระทบ โชคดีเท่าที่จำได้ ผมไม่ได้ใช้บัญชีนั้นแยกต่างหาก และใช้อีเมลกับรหัสผ่านแบบใช้แล้วทิ้ง

    • ฟังดูเหมือน ดัมป์ฐานข้อมูลทั้งก้อน
    • ไม่อยากตีความชื่อเรื่องเอง แต่ถ้า dang จะเปลี่ยนชื่อเรื่องก็ได้
  • แอป iOS ของ FlightAware ก็เพิ่งเลิกสนับสนุน iOS 15 ไปเช่นกัน แต่แทนที่จะปล่อยให้แอปเดิมทำงานต่อ กลับแสดง โมดัลเต็มหน้าจอ บอกผู้ใช้ iOS 15 ให้ซื้อโทรศัพท์ใหม่ และบล็อกไม่ให้ใช้แอปที่ยังใช้งานได้ดีจนถึงสัปดาห์ที่แล้ว
    แอปอื่น ๆ ในโทรศัพท์ของผมยังทำงานต่อได้อย่างสง่างามบนอุปกรณ์เก่า มีแต่แอปนี้ที่เป็นแบบนี้ เรื่องนี้ไร้เหตุผลโดยสิ้นเชิง และไม่ใช่วิธีที่แอปปกติจัดการกับ ความเข้ากันได้ย้อนหลัง นักพัฒนาฝั่งนั้นดูเหมือนตัวตลกที่ไม่รู้ว่ากำลังทำอะไรอยู่

    • น่าขำดีที่คิดว่านักพัฒนามีสิทธิ์ตัดสินใจว่าจะรองรับอะไร นี่ชัดเจนว่าเป็นการตัดสินใจของผู้จัดการ หรือไม่ก็มีแนวโน้มว่าเป็นการตัดสินใจของ CEO
    • ถ้าพูดอย่างเป็นธรรม อุปกรณ์ที่ใช้อยู่ตอนนี้ก็อายุ 8 ปีแล้ว และ Apple ก็หยุดสนับสนุนไปเมื่อ 2 ปีก่อน เว็บไซต์บางแห่งอาจใช้งานไม่ได้อยู่แล้ว และแอปแบบ wrapper ของ “เว็บเซอร์วิส” ก็คงต้องมีข้อจำกัดคล้ายกัน
      หากจะรองรับอุปกรณ์นั้น ก็คงต้องคงเวอร์ชันเว็บแอปเดิมไว้ต่อ ซึ่งไม่ใช่งานที่ทำได้ฟรี ๆ การที่แอปฟรีรองรับอุปกรณ์ได้นาน 7 ปีก็นับว่านานแล้ว และในสถานการณ์ที่ iOS 18 ใกล้จะมา การเลิกสนับสนุนก็ยิ่งสมเหตุสมผลขึ้นเรื่อย ๆ
  • ยืนยันได้ว่าอีเมลเป็นของจริง ผมก็ได้รับเหมือนกัน ประเด็นสำคัญคือพวกเขาพูดถึง รหัสผ่านรั่วไหล
    ไม่ได้ระบุว่าถูกแฮชหรือไม่ และถ้าแฮชแล้วมี salt หรือไม่ และก็หาบล็อกโพสต์ไม่เจอ การที่อีเมลแจ้งเตือนใช้เวลานานกว่า 3 สัปดาห์ไม่น่าประทับใจเลย

    • ในฐานะคนที่เคยทำงานที่นั่น รหัสผ่านถูกเก็บในฐานข้อมูลโดย ใส่ salt แล้วแฮช อย่างแน่นอน
      เนื้อหาอีเมลโดยรวมฟังดูเหมือนสิ่งที่อยู่ในตารางบัญชีผู้ใช้ แต่ผมไม่คิดว่าเลข 4 หลักท้ายของบัตรเครดิตอยู่ในนั้น และจากการที่เขียนว่า “รหัสผ่าน” แทนที่จะเป็น “รหัสผ่านที่ใส่ salt/แฮชแล้ว” ก็ดูเหมือนว่าน่าจะมีอะไรมากกว่านั้น
      ผมนึกได้ว่าอาจเป็นปัญหาของ Apache หรือ Apache Rivet ทำให้มีโอกาสดักทุกอย่างที่ส่งไปยังเซิร์ฟเวอร์ได้ ถ้าเป็นแบบนั้น หากเข้าสู่ระบบในช่วงเวลาดังกล่าวก็อาจรวมถึงรหัสผ่านจริง และถ้าซื้ออะไรบางอย่างก็อาจรวมถึงข้อมูลบัตรเครดิตด้วย
      Rivet มีหลุมพรางอันตรายอยู่มาก เท่าที่จำได้ ตัวแปรจะคงอยู่ตลอดอายุของ child process ของ Apache ดังนั้นถ้าไม่ลบเอง ก็สามารถเข้าถึงได้ในคำขอถัดไป หากมีใครลบหรือไม่รันโปรซีเยอร์ขนาดใหญ่ที่ “ลบตัวแปรทั้งหมดที่เราอาจตั้งไว้” และมีอีกคนสามารถเอา output ของ info var มาได้ ก็จะเห็นค่าการตั้งค่าทั้งหมดจากคำขอก่อนหน้า หรือคำขอที่เก่ากว่านั้นซึ่งยังไม่ถูกเขียนทับ ข้อมูลผู้ใช้ก็ถูกเก็บไว้ในอาร์เรย์ global ขนาดใหญ่ชื่อ user ด้วย
    • น่าสนใจที่แม้จะมีบัญชีที่ใช้งานอยู่ (ฟีดข้อมูล ADS-B) แต่กลับไม่ได้รับอีเมลนี้
  • เมื่อ 8 เดือนก่อน FlightAware เขียนบล็อกโพสต์ว่าได้ ย้ายทั้งเทคโนโลยีสแตกออกจาก TCL ชื่อบทความคือ “Managing a Technical Transformation (Part 1)” แต่หา Part 2 ไม่เจอ
    https://flightaware.engineering/managing-a-technical-transfo...

  • ลิงก์เพิ่มเติมอีกไม่กี่รายการ:
    https://www.404media.co/flightaware-exposed-pilots-and-users...
    อีเมลตอบกลับอัตโนมัติที่ได้รับเมื่อส่งตอบกลับอีเมลนั้น:
    https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
    https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...

  • ในบทความไม่มีตรงไหนบอกว่ารหัสผ่าน “ถูกแฮช” ไว้ ดังนั้นจึงชวนให้สันนิษฐานว่า รหัสผ่านแบบข้อความล้วน รั่วไหล
    เรื่องนี้เลวร้ายกว่าการรั่วไหลของข้อมูลอื่นทั้งหมดรวมกัน 100 เท่า เพราะอาจเป็นหายนะสำหรับผู้ใช้ และป้องกันได้ง่ายตั้งแต่แรกด้วยการไม่เก็บเป็นข้อความล้วน
    แก้ไข: มีคนบอกว่ารหัสผ่านที่เก็บไว้ถูกแฮชแล้ว [1] หวังว่าจะเป็นอย่างนั้นจริง
    [1] https://news.ycombinator.com/item?id=41278855

  • ถึงเวลาแล้วที่ ผู้บริหารต้องรับผิดชอบ ก็เวลาเจรจาเงินเดือนพวกเขามักยกเรื่องความรับผิดชอบขึ้นมาบ่อยนักนี่

  • บนเว็บไซต์ยังไม่มีอะไรเลย มีแค่ใน Discourse อย่างเป็นทางการ:
    https://discussions.flightaware.com/t/closing-account-due-th...

  • ผมมีบัญชีฟรีของ FlightAware และบางครั้งเคยซื้อการชำระเงินในแอปผ่าน Apple เพื่อเอาโฆษณาออก อยากรู้ว่าพวกเขามี ข้อมูลส่วนบุคคลหรือข้อมูลการเรียกเก็บเงิน อะไรเกี่ยวกับผมจริง ๆ นอกเหนือจากที่อยู่อีเมลของผม