- FlightAware ระบุว่าเนื่องจาก ข้อผิดพลาดในการตั้งค่า ที่พบเมื่อวันที่ 25 กรกฎาคม 2024 อาจทำให้ข้อมูลส่วนบุคคลของบัญชีถูกเปิดเผย และกำหนดให้ผู้ใช้ที่อาจได้รับผลกระทบต้อง รีเซ็ตรหัสผ่าน
- ข้อมูลที่อาจถูกเปิดเผยรวมถึง ID ผู้ใช้ รหัสผ่าน และที่อยู่อีเมล และขึ้นอยู่กับข้อมูลที่ผู้ใช้กรอก อาจรวมถึงชื่อ ที่อยู่ IP หมายเลขโทรศัพท์ ปีเกิด และเลข 4 หลักสุดท้ายของบัตรเครดิต
- บริษัทแก้ไขข้อผิดพลาดในการตั้งค่าหลังพบปัญหาแล้ว และผู้ใช้จะได้รับคำแนะนำให้รีเซ็ตรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป หรือสามารถใช้ลิงก์รีเซ็ตบัญชีได้
- ในประกาศระบุว่าความล่าช้าในการแจ้งเตือนไม่ได้เกิดจาก การสอบสวนของหน่วยงานบังคับใช้กฎหมาย และรับคำถามเกี่ยวกับข้อมูลส่วนบุคคลผ่าน privacy@flightaware.com หรือผู้รับผิดชอบด้าน Privacy ตามที่อยู่ใน Houston
- ณ วันที่ 16 สิงหาคม 2024 การแจ้งเตือนเกิดขึ้นหลังจากวันที่พบเหตุการณ์ไปแล้ว มากกว่า 3 สัปดาห์ และต้นฉบับประเมินว่าเป็นการละเมิด ข้อกำหนดการแจ้งเตือนภายใน 72 ชั่วโมง ของ EU
ความเป็นไปได้ที่ข้อมูลบัญชีถูกเปิดเผยจากข้อผิดพลาดในการตั้งค่า
- FlightAware แจ้งผู้ใช้ผ่านอีเมลเกี่ยวกับ เหตุการณ์ด้านความปลอดภัยของข้อมูล ที่อาจทำให้ข้อมูลส่วนบุคคลของบัญชีถูกเปิดเผย
- เหตุการณ์นี้เกี่ยวข้องกับ ข้อผิดพลาดในการตั้งค่า ที่พบเมื่อวันที่ 25 กรกฎาคม 2024
- ผู้ใช้ทุกคนที่อาจได้รับผลกระทบต้องรีเซ็ตรหัสผ่าน
- ผู้ใช้จะได้รับพรอมป์ให้รีเซ็ตรหัสผ่านเมื่อเข้าสู่ระบบ FlightAware ครั้งถัดไป หรือใช้ ลิงก์รีเซ็ตบัญชี ได้
ข้อมูลที่อาจถูกเปิดเผย
- โดยพื้นฐานแล้ว ข้อมูลที่ระบุว่าอาจถูกเปิดเผยมีดังนี้
- ID ผู้ใช้
- รหัสผ่าน
- ที่อยู่อีเมล
- อาจรวมรายการเพิ่มเติมตามข้อมูลที่ผู้ใช้ให้ไว้ในบัญชี
- ชื่อ-นามสกุล
- ที่อยู่สำหรับเรียกเก็บเงิน
- ที่อยู่สำหรับจัดส่ง
- ที่อยู่ IP
- บัญชีโซเชียลมีเดีย
- หมายเลขโทรศัพท์
- ปีเกิด
- เลข 4 หลักสุดท้ายของหมายเลขบัตรเครดิต
- ข้อมูลเกี่ยวกับอากาศยานที่เป็นเจ้าของ
- อุตสาหกรรม
- ตำแหน่งงาน
- สถานะว่าเป็นนักบินหรือไม่
- กิจกรรมของบัญชี เช่น เที่ยวบินที่ค้นดูและความคิดเห็นที่โพสต์
การตอบสนองของ FlightAware และช่องทางติดต่อ
- FlightAware ระบุว่าได้ แก้ไขข้อผิดพลาดในการตั้งค่าทันที หลังพบความเป็นไปได้ของการเปิดเผยข้อมูล
- ผู้ใช้ทุกคนที่อาจได้รับผลกระทบต้องรีเซ็ตรหัสผ่านให้เสร็จสิ้น
- ในประกาศระบุว่าการแจ้งเตือนครั้งนี้ไม่ได้ล่าช้าเพราะการสอบสวนของหน่วยงานบังคับใช้กฎหมาย
- ช่องทางติดต่อเพื่อขอความช่วยเหลือเพิ่มเติมเกี่ยวกับข้อมูลส่วนบุคคลมีดังนี้
- อีเมล: privacy@flightaware.com
- ไปรษณีย์: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046
ความล่าช้าในการแจ้งเตือนและข้อถกเถียงด้านกฎระเบียบ
- วันที่พบเหตุการณ์คือ 25 กรกฎาคม 2024
- มีการระบุว่าการแจ้งผู้ใช้ถูกส่งไปเมื่อวันก่อนหน้า นับจากเวลาที่เผยแพร่เมื่อวันที่ 16 สิงหาคม 2024
- ต้นฉบับประเมินว่า FlightAware ละเมิด กฎคุ้มครองผู้บริโภคของ EU ที่ต้องแจ้งผู้ใช้ภายใน 72 ชั่วโมง เมื่ออาจเกิดการละเมิดข้อมูล
- ประเด็นสำคัญที่ยังคงอยู่คือใช้เวลามากกว่า 3 สัปดาห์นับจากการพบเหตุการณ์จนถึงการแจ้งเตือน
สิ่งที่ผู้ใช้ควรตรวจสอบ
- ผู้ใช้บัญชี FlightAware ควรดำเนินการ รีเซ็ตรหัสผ่าน เมื่อเข้าสู่ระบบครั้งถัดไป
- เนื่องจากข้อมูลที่อาจถูกเปิดเผยรวมถึงรหัสผ่านและที่อยู่อีเมล ผู้ใช้ที่ใช้รหัสผ่านเดียวกันกับบริการอื่นควรตรวจสอบแยกต่างหาก
- ช่องทางสอบถามข้อมูลส่วนบุคคลอย่างเป็นทางการของ FlightAware คือ privacy@flightaware.com
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ชื่อเรื่องไม่ครบถ้วน หรือแทบจะทำให้เข้าใจผิดได้เลย ข้อมูลที่รั่วไหลมีมากกว่าชื่อ อีเมล และรหัสผ่านมาก:
ขึ้นอยู่กับข้อมูลที่คุณให้ไว้ อาจรวมถึงชื่อเต็ม ที่อยู่สำหรับออกบิล ที่อยู่สำหรับจัดส่ง ที่อยู่ IP บัญชีโซเชียลมีเดีย หมายเลขโทรศัพท์ ปีเกิด เลข 4 หลักท้ายของบัตรเครดิต ข้อมูลเครื่องบินที่เป็นเจ้าของ ประเภทธุรกิจ ตำแหน่งงาน สถานะว่าเป็นนักบินหรือไม่ และกิจกรรมในบัญชี (เช่น เที่ยวบินที่ดูและความคิดเห็นที่เขียน)
ฟังดูเหมือนแทบทุกข้อมูลที่เชื่อมกับโปรไฟล์ได้รับผลกระทบ โชคดีเท่าที่จำได้ ผมไม่ได้ใช้บัญชีนั้นแยกต่างหาก และใช้อีเมลกับรหัสผ่านแบบใช้แล้วทิ้ง
แอป iOS ของ FlightAware ก็เพิ่งเลิกสนับสนุน iOS 15 ไปเช่นกัน แต่แทนที่จะปล่อยให้แอปเดิมทำงานต่อ กลับแสดง โมดัลเต็มหน้าจอ บอกผู้ใช้ iOS 15 ให้ซื้อโทรศัพท์ใหม่ และบล็อกไม่ให้ใช้แอปที่ยังใช้งานได้ดีจนถึงสัปดาห์ที่แล้ว
แอปอื่น ๆ ในโทรศัพท์ของผมยังทำงานต่อได้อย่างสง่างามบนอุปกรณ์เก่า มีแต่แอปนี้ที่เป็นแบบนี้ เรื่องนี้ไร้เหตุผลโดยสิ้นเชิง และไม่ใช่วิธีที่แอปปกติจัดการกับ ความเข้ากันได้ย้อนหลัง นักพัฒนาฝั่งนั้นดูเหมือนตัวตลกที่ไม่รู้ว่ากำลังทำอะไรอยู่
หากจะรองรับอุปกรณ์นั้น ก็คงต้องคงเวอร์ชันเว็บแอปเดิมไว้ต่อ ซึ่งไม่ใช่งานที่ทำได้ฟรี ๆ การที่แอปฟรีรองรับอุปกรณ์ได้นาน 7 ปีก็นับว่านานแล้ว และในสถานการณ์ที่ iOS 18 ใกล้จะมา การเลิกสนับสนุนก็ยิ่งสมเหตุสมผลขึ้นเรื่อย ๆ
ยืนยันได้ว่าอีเมลเป็นของจริง ผมก็ได้รับเหมือนกัน ประเด็นสำคัญคือพวกเขาพูดถึง รหัสผ่านรั่วไหล
ไม่ได้ระบุว่าถูกแฮชหรือไม่ และถ้าแฮชแล้วมี salt หรือไม่ และก็หาบล็อกโพสต์ไม่เจอ การที่อีเมลแจ้งเตือนใช้เวลานานกว่า 3 สัปดาห์ไม่น่าประทับใจเลย
เนื้อหาอีเมลโดยรวมฟังดูเหมือนสิ่งที่อยู่ในตารางบัญชีผู้ใช้ แต่ผมไม่คิดว่าเลข 4 หลักท้ายของบัตรเครดิตอยู่ในนั้น และจากการที่เขียนว่า “รหัสผ่าน” แทนที่จะเป็น “รหัสผ่านที่ใส่ salt/แฮชแล้ว” ก็ดูเหมือนว่าน่าจะมีอะไรมากกว่านั้น
ผมนึกได้ว่าอาจเป็นปัญหาของ Apache หรือ Apache Rivet ทำให้มีโอกาสดักทุกอย่างที่ส่งไปยังเซิร์ฟเวอร์ได้ ถ้าเป็นแบบนั้น หากเข้าสู่ระบบในช่วงเวลาดังกล่าวก็อาจรวมถึงรหัสผ่านจริง และถ้าซื้ออะไรบางอย่างก็อาจรวมถึงข้อมูลบัตรเครดิตด้วย
Rivet มีหลุมพรางอันตรายอยู่มาก เท่าที่จำได้ ตัวแปรจะคงอยู่ตลอดอายุของ child process ของ Apache ดังนั้นถ้าไม่ลบเอง ก็สามารถเข้าถึงได้ในคำขอถัดไป หากมีใครลบหรือไม่รันโปรซีเยอร์ขนาดใหญ่ที่ “ลบตัวแปรทั้งหมดที่เราอาจตั้งไว้” และมีอีกคนสามารถเอา output ของ
info varมาได้ ก็จะเห็นค่าการตั้งค่าทั้งหมดจากคำขอก่อนหน้า หรือคำขอที่เก่ากว่านั้นซึ่งยังไม่ถูกเขียนทับ ข้อมูลผู้ใช้ก็ถูกเก็บไว้ในอาร์เรย์ global ขนาดใหญ่ชื่อuserด้วยเมื่อ 8 เดือนก่อน FlightAware เขียนบล็อกโพสต์ว่าได้ ย้ายทั้งเทคโนโลยีสแตกออกจาก TCL ชื่อบทความคือ “Managing a Technical Transformation (Part 1)” แต่หา Part 2 ไม่เจอ
https://flightaware.engineering/managing-a-technical-transfo...
ลิงก์เพิ่มเติมอีกไม่กี่รายการ:
https://www.404media.co/flightaware-exposed-pilots-and-users...
อีเมลตอบกลับอัตโนมัติที่ได้รับเมื่อส่งตอบกลับอีเมลนั้น:
https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...
ในบทความไม่มีตรงไหนบอกว่ารหัสผ่าน “ถูกแฮช” ไว้ ดังนั้นจึงชวนให้สันนิษฐานว่า รหัสผ่านแบบข้อความล้วน รั่วไหล
เรื่องนี้เลวร้ายกว่าการรั่วไหลของข้อมูลอื่นทั้งหมดรวมกัน 100 เท่า เพราะอาจเป็นหายนะสำหรับผู้ใช้ และป้องกันได้ง่ายตั้งแต่แรกด้วยการไม่เก็บเป็นข้อความล้วน
แก้ไข: มีคนบอกว่ารหัสผ่านที่เก็บไว้ถูกแฮชแล้ว [1] หวังว่าจะเป็นอย่างนั้นจริง
[1] https://news.ycombinator.com/item?id=41278855
ถึงเวลาแล้วที่ ผู้บริหารต้องรับผิดชอบ ก็เวลาเจรจาเงินเดือนพวกเขามักยกเรื่องความรับผิดชอบขึ้นมาบ่อยนักนี่
บนเว็บไซต์ยังไม่มีอะไรเลย มีแค่ใน Discourse อย่างเป็นทางการ:
https://discussions.flightaware.com/t/closing-account-due-th...
ผมมีบัญชีฟรีของ FlightAware และบางครั้งเคยซื้อการชำระเงินในแอปผ่าน Apple เพื่อเอาโฆษณาออก อยากรู้ว่าพวกเขามี ข้อมูลส่วนบุคคลหรือข้อมูลการเรียกเก็บเงิน อะไรเกี่ยวกับผมจริง ๆ นอกเหนือจากที่อยู่อีเมลของผม