FlightAwareの顧客データ流出(氏名、メールアドレス、パスワード)

 (loyaltylobby.com)
1 ポイント 投稿者 GN⁺ 2024-08-19 | 1件のコメント | WhatsAppで共有
  • FlightAwareは、ユーザーデータを安全に保護できず、すべてを流出させたように見える企業の一覧に加わった
  • FlightAwareが昨日送信したメールによると、ユーザーID、パスワード、メールアドレス、氏名、請求先住所、配送先住所、IPアドレス、ソーシャルメディアアカウント、電話番号、出生年、クレジットカード番号の下4桁など、ほぼすべての顧客データが潜在的に露出した可能性がある

FlightAwareがユーザーに送ったメッセージ

  • 7月25日、FlightAwareアカウントの個人情報が誤って露出した可能性のある設定ミスを発見した
  • 露出した情報には、ユーザーID、パスワード、メールアドレスに加え、氏名、請求先住所、配送先住所、IPアドレス、ソーシャルメディアアカウント、電話番号、出生年、クレジットカード番号の下4桁、所有する航空機情報、業界、役職、パイロットかどうか、アカウント活動(閲覧したフライト、投稿したコメントなど)などが含まれていた可能性がある
  • 露出が発見されるとすぐに設定ミスを修正し、追加の注意措置として、潜在的に影響を受けたすべてのユーザーにパスワードのリセットを求めている

結論

  • このような企業が顧客データを公開ウェブに露出させないようにすることが、なぜ難しいのか分からない
  • FlightAwareは、潜在的なデータ流出を72時間以内にユーザーへ通知しなければならないEUの消費者保護規則に違反しており、3週間以上かかった

GN⁺の見解

  • データ流出事故は、個人情報保護とサイバーセキュリティの重要性を改めて思い起こさせる。企業は顧客データを安全に守るため、より多くの努力を払う必要がある
  • 特にFlightAwareのような航空関連企業の場合、顧客データ流出によって深刻なセキュリティ脅威が生じる可能性がある。たとえば、テロリストが乗客情報を悪用することがあり得る
  • データ流出事故が発生した際には、迅速で透明性のある対応が重要だ。FlightAwareはEU規則に違反し、ユーザーに適時通知しなかった。これは企業の信頼性を損なう可能性がある
  • 顧客は、自身の個人情報を守るために強力なパスワードを使用し、定期的に変更するなど、基本的なセキュリティ対策を守る必要がある。また、不審なメールやリンクにも注意すべきだ
  • 企業は、データ暗号化、アクセス制御、リアルタイム監視など、さまざまな技術的・管理的セキュリティ対策を講じる必要がある。また、役職員向けセキュリティ教育や危機対応マニュアルの整備など、組織レベルでの備えも必要だ

関連記事

1件のコメント

 
GN⁺ 2024-08-19
Hacker Newsの意見
  • 個人情報漏えい: 名前、メールアドレス、パスワードに加え、氏名、請求先住所、配送先住所、IPアドレス、ソーシャルメディアアカウント、電話番号、生年月日、クレジットカード下4桁、所有航空機情報、職業、パイロットかどうか、アカウント活動なども含まれる
  • FlightAware iOSアプリのサポート終了: iOS 15のサポートを打ち切り、ユーザーに新しいスマホの購入を求めているが、他のアプリは今でも古い端末で動作している
  • メールの真正性確認: パスワード漏えいへの言及があるが、ハッシュ化されていたかは不明で、通知メールの送信まで3週間かかった
  • 平文パスワード漏えいの可能性: ハッシュ化されていないパスワードが漏えいした可能性があり、ユーザーへの被害は大きく、容易に防げたはずだ
    • 編集: 誰かが、ハッシュ化されたパスワードが保存されていたと主張している
  • 技術スタックの移行: 8か月前にTCLからの技術スタック移行に関するブログを公開していたが、Part 2は見つからない
  • 追加リンク: 漏えい関連記事と自動応答ツイートへのリンクが提供されている
  • 経営陣の責任: 経営陣は責任を負うべきだ
  • 個人情報の確認: FlightAwareの無料アカウントを使っているが、メールアドレス以外にどのような個人情報や請求情報を持たれているのか気になる
  • GDPRの通知要件: 個人データ漏えい時は監督機関に72時間以内に通知し、ユーザーには遅滞なく知らせる必要があり、FlightAwareの3週間遅れの通知は問題がある
  • Webサイト上の告知なし: 公式Discourseでのみ告知された