ข้อมูลลูกค้า FlightAware รั่วไหล (ชื่อ ที่อยู่อีเมล และรหัสผ่าน)

 (loyaltylobby.com)
1 คะแนน โดย GN⁺ 2024-08-19 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • FlightAware เข้าร่วมรายชื่อบริษัทที่ดูเหมือนจะไม่สามารถปกป้องข้อมูลผู้ใช้ได้อย่างปลอดภัยและทำข้อมูลรั่วไหลทั้งหมด
  • ตามอีเมลที่ FlightAware ส่งเมื่อวานนี้ ข้อมูลลูกค้าแทบทั้งหมดอาจถูกเปิดเผยได้ ไม่ว่าจะเป็น user ID, รหัสผ่าน, ที่อยู่อีเมล, ชื่อ-นามสกุล, ที่อยู่สำหรับเรียกเก็บเงิน, ที่อยู่จัดส่ง, IP address, บัญชีโซเชียลมีเดีย, หมายเลขโทรศัพท์, ปีเกิด และเลข 4 หลักท้ายของบัตรเครดิต

ข้อความที่ FlightAware ส่งถึงผู้ใช้

  • เมื่อวันที่ 25 กรกฎาคม บริษัทค้นพบข้อผิดพลาดในการตั้งค่าที่อาจทำให้ข้อมูลส่วนบุคคลในบัญชี FlightAware ถูกเปิดเผยโดยไม่ตั้งใจ
  • ข้อมูลที่อาจถูกเปิดเผย นอกจาก user ID, รหัสผ่าน และที่อยู่อีเมลแล้ว ยังอาจรวมถึงชื่อ-นามสกุล, ที่อยู่สำหรับเรียกเก็บเงิน, ที่อยู่จัดส่ง, IP address, บัญชีโซเชียลมีเดีย, หมายเลขโทรศัพท์, ปีเกิด, เลข 4 หลักท้ายของบัตรเครดิต, ข้อมูลอากาศยานที่เป็นเจ้าของ, อุตสาหกรรม, ตำแหน่งงาน, สถานะการเป็นนักบิน และกิจกรรมในบัญชี (เช่น เที่ยวบินที่เคยดู ความคิดเห็นที่เคยโพสต์ เป็นต้น)
  • ทันทีที่ตรวจพบการเปิดเผย บริษัทได้แก้ไขข้อผิดพลาดในการตั้งค่าทันที และเพื่อความปลอดภัยเพิ่มเติม กำลังกำหนดให้ผู้ใช้ทุกคนที่อาจได้รับผลกระทบต้องรีเซ็ตรหัสผ่าน

บทสรุป

  • ไม่เข้าใจว่าทำไมการป้องกันไม่ให้บริษัทเหล่านี้เปิดเผยข้อมูลลูกค้าบนเว็บสาธารณะจึงเป็นเรื่องยากนัก
  • FlightAware ใช้เวลานานกว่า 3 สัปดาห์ จึงอาจเข้าข่ายละเมิดกฎคุ้มครองผู้บริโภคของสหภาพยุโรปที่กำหนดให้ต้องแจ้งผู้ใช้ภายใน 72 ชั่วโมงเมื่อเกิดเหตุข้อมูลรั่วไหลที่อาจส่งผลกระทบ

ความเห็นของ GN⁺

  • เหตุข้อมูลรั่วไหลครั้งนี้ย้ำเตือนอีกครั้งถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยไซเบอร์ บริษัทต่าง ๆ ควรพยายามให้มากขึ้นในการปกป้องข้อมูลลูกค้าอย่างปลอดภัย
  • โดยเฉพาะในกรณีของบริษัทด้านการบินอย่าง FlightAware การรั่วไหลของข้อมูลลูกค้าอาจก่อให้เกิดภัยคุกคามด้านความปลอดภัยที่ร้ายแรงได้ ตัวอย่างเช่น ผู้ก่อการร้ายอาจนำข้อมูลผู้โดยสารไปใช้ในทางที่ผิด
  • เมื่อเกิดเหตุข้อมูลรั่วไหล การตอบสนองอย่างรวดเร็วและโปร่งใสเป็นสิ่งสำคัญ FlightAware ไม่ได้แจ้งผู้ใช้ได้ทันท่วงทีและอาจละเมิดข้อกำหนดของสหภาพยุโรป ซึ่งอาจบั่นทอนความน่าเชื่อถือของบริษัท
  • ลูกค้าควรปกป้องข้อมูลส่วนบุคคลของตนด้วยการใช้รหัสผ่านที่แข็งแรงและเปลี่ยนเป็นประจำ รวมถึงปฏิบัติตามหลักพื้นฐานด้านความปลอดภัย นอกจากนี้ควรระวังอีเมลหรือลิงก์ที่น่าสงสัย
  • บริษัทต่าง ๆ ควรใช้มาตรการความปลอดภัยทั้งด้านเทคนิคและการบริหาร เช่น การเข้ารหัสข้อมูล การควบคุมการเข้าถึง และการเฝ้าระวังแบบเรียลไทม์ รวมถึงจำเป็นต้องมีการเตรียมพร้อมในระดับองค์กร เช่น การอบรมความปลอดภัยให้พนักงานและการจัดทำคู่มือรับมือวิกฤต

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-08-19
ความคิดเห็นจาก Hacker News
  • ข้อมูลส่วนบุคคลรั่วไหล: นอกจากชื่อ อีเมล และรหัสผ่านแล้ว ยังรวมถึงชื่อเต็ม ที่อยู่สำหรับเรียกเก็บเงิน ที่อยู่จัดส่ง IP address บัญชีโซเชียลมีเดีย หมายเลขโทรศัพท์ วันเกิด 4 หลักสุดท้ายของบัตรเครดิต ข้อมูลเครื่องบินที่เป็นเจ้าของ อาชีพ สถานะการเป็นนักบิน และกิจกรรมในบัญชี
  • ยุติการรองรับแอป FlightAware บน iOS: เลิกรองรับ iOS 15 บังคับให้ผู้ใช้ต้องซื้อโทรศัพท์ใหม่ ทั้งที่แอปอื่น ๆ ยังใช้งานบนอุปกรณ์รุ่นเก่าได้อยู่
  • การตรวจสอบความน่าเชื่อถือของอีเมล: มีการกล่าวถึงการรั่วไหลของรหัสผ่าน แต่ไม่ชัดเจนว่าเป็นแบบแฮชหรือไม่ และใช้เวลาถึง 3 สัปดาห์กว่าจะส่งอีเมลแจ้งเตือน
  • ความเป็นไปได้ที่รหัสผ่านแบบ plaintext จะรั่วไหล: อาจมีการรั่วไหลของรหัสผ่านที่ไม่ได้แฮช ส่งผลเสียอย่างมากต่อผู้ใช้ และเป็นสิ่งที่ป้องกันได้ง่าย
    • แก้ไข: มีคนอ้างว่ามีการเก็บรหัสผ่านแบบแฮช
  • การเปลี่ยน tech stack: เมื่อ 8 เดือนก่อนมีบล็อกโพสต์เกี่ยวกับการเปลี่ยน tech stack จาก TCL แต่หา Part 2 ไม่เจอ
  • ลิงก์เพิ่มเติม: มีการแชร์ลิงก์บทความเกี่ยวกับการรั่วไหลและลิงก์ทวีตตอบกลับอัตโนมัติ
  • ความรับผิดชอบของผู้บริหาร: ผู้บริหารควรต้องรับผิดชอบ
  • การตรวจสอบข้อมูลส่วนบุคคล: ใช้บัญชีฟรีของ FlightAware และสงสัยว่าบริษัทมีข้อมูลส่วนตัว/ข้อมูลเรียกเก็บเงินอะไรของตนนอกจากอีเมลอีกบ้าง
  • ข้อกำหนดการแจ้งเตือนตาม GDPR: เมื่อเกิดการรั่วไหลของข้อมูลส่วนบุคคล ต้องแจ้งหน่วยงานกำกับดูแลภายใน 72 ชั่วโมง และต้องแจ้งผู้ใช้โดยไม่ล่าช้า การที่ FlightAware แจ้งช้าถึง 3 สัปดาห์จึงเป็นปัญหา
  • ไม่มีประกาศบนเว็บไซต์: มีประกาศเฉพาะใน Discourse ทางการเท่านั้น