1 ポイント 投稿者 GN⁺ 2024-08-19 | 1件のコメント | WhatsAppで共有
  • FlightAwareは、2024年7月25日に発見した設定ミスによりアカウントの個人情報が露出した可能性があるとして、潜在的な影響を受けるユーザーにパスワード再設定を求めている
  • 露出した可能性のある情報には、ユーザーID、パスワード、メールアドレスが含まれ、ユーザーが入力した情報によっては氏名・住所・IPアドレス・電話番号・生年・クレジットカード下4桁まで含まれる可能性がある
  • 同社は問題発見後に設定ミスを修正しており、ユーザーは次回ログイン時にパスワード再設定の案内を受けるか、アカウント再設定リンクを利用できる
  • 通知には、案内の遅れが法執行機関の調査によるものではないと明記されており、個人情報に関する問い合わせは privacy@flightaware.com またはヒューストンのPrivacy担当宛で受け付けている
  • 2024年8月16日時点で通知は発見日から3週間以上経過してから行われており、原文ではEUの72時間通知要件違反と評価している

設定ミスによるアカウント情報露出の可能性

  • FlightAwareはユーザーに送ったメールで、アカウントの個人情報が潜在的に露出したデータセキュリティ事故を通知した
  • 事故は2024年7月25日に発見された設定ミスに関連している
  • 潜在的に影響を受けたすべてのユーザーはパスワードを再設定する必要がある
  • ユーザーは次回のFlightAwareログイン時にパスワード再設定プロンプトを受け取るか、アカウント再設定リンクを利用できる

露出する可能性のある情報

  • 基本的に露出の可能性があるとされた情報は以下のとおり
    • ユーザーID
    • パスワード
    • メールアドレス
  • ユーザーがアカウントに提供した情報によっては追加項目も含まれる可能性がある
    • 氏名
    • 請求先住所
    • 配送先住所
    • IPアドレス
    • ソーシャルメディアアカウント
    • 電話番号
    • 出生年
    • クレジットカード番号の下4桁
    • 所有航空機に関する情報
    • 業界
    • 役職
    • パイロットかどうか
    • アカウント活動(例: 閲覧したフライトや投稿したコメント)

FlightAwareの対応と問い合わせ窓口

  • FlightAwareは露出の可能性を発見した後、設定ミスを直ちに修正した
  • 潜在的影響を受けるユーザーは全員、パスワード再設定を完了する必要がある
  • 通知には、今回の案内が法執行機関の調査によって遅れたものではないと明記されている
  • 個人情報関連の追加サポート連絡先は以下のとおり
    • メール: privacy@flightaware.com
    • 郵送: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046

通知遅延と規制をめぐる論争

  • 事故の発見日は2024年7月25日
  • ユーザー通知は、2024年8月16日の掲載時点基準で前日に送信されたものとして紹介されている
  • 原文は、FlightAwareが潜在的なデータ侵害を72時間以内にユーザーへ通知すべきEU消費者保護規定に違反したと評価している
  • 発見後、通知までに3週間以上かかった点が核心的な問題として残っている

ユーザーが確認すべき点

  • FlightAwareアカウントのユーザーは次回ログイン時にパスワード再設定を行う必要がある
  • 露出した可能性のある情報にパスワードとメールアドレスが含まれるため、同じパスワードを他サービスでも使っているユーザーは別途確認が必要
  • FlightAwareの公式個人情報問い合わせ窓口は privacy@flightaware.com

1件のコメント

 
GN⁺ 2024-08-19
Hacker Newsのコメント
  • タイトルが不完全で、ほとんど誤解を招くレベル。流出した情報は氏名、メールアドレス、パスワードよりはるかに多い:
    提供していた情報に応じて、氏名、請求先住所、配送先住所、IPアドレス、ソーシャルメディアアカウント、電話番号、出生年、クレジットカード下4桁、保有航空機情報、業種、役職、パイロットかどうか、アカウント活動(閲覧したフライトや投稿したコメントなど)まで含まれていた可能性がある
    プロフィールにひも付いたほぼすべての情報が影響を受けたように聞こえる。幸い、覚えている限りそのアカウントを他で使い回してはいなかったし、使い捨てのメールアドレスとパスワードを使っていた

    • データベース全体のダンプのように聞こえる
    • タイトルを勝手に解釈したくはなかったが、dangがタイトルを変えても構わない
  • FlightAwareのiOSアプリもiOS 15のサポートを打ち切ったばかりだが、既存アプリをそのまま動かし続けられるようにする代わりに、iOS 15ユーザーに新しいスマホを買えと言わんばかりの全画面モーダルを表示して、先週までは問題なく使えていたアプリの利用を止めてしまった
    私のスマホの他のアプリは古い端末でもきちんと動き続けるのに、このアプリだけは違う。これは完全におかしいし、まともなアプリが後方互換性を扱うやり方ではない。あそこの開発者たちは何をしているのか分かっていない道化のように見える

    • 開発者に何をサポートするか決める権限があったという発想は面白い。これは明らかに管理職の判断で、でなければCEOの判断である可能性が高い
    • 公平に言えば、今使っているのは8年前の端末で、Appleのサポートも2年前に切れている。すでに一部のWebサイトは動かない可能性があるし、「Webサービス」のアプリラッパーにも似たような制限があるのは避けられない
      その端末をサポートするには、おそらく既存のWebアプリ版を維持し続ける必要があるが、それはタダではできない。無料アプリで端末を7年サポートしただけでも十分長いし、iOS 18が目前に迫っている状況では、サポート終了はますます妥当に思える
  • このメールが本物であることは確認できる。私にも届いた。彼らがパスワード流出について言及したのは重要だ
    ハッシュ化されていたのか、されていたとしてソルト付きだったのかには触れておらず、ブログ記事も見つからなかった。通知メールに3週間以上かかったという点も感心できるものではない

    • 以前そこで働いていた立場から言うと、パスワードはデータベース内で確実にソルト付きハッシュで保存されていた
      メールの内容はおおむねユーザーアカウントテーブルにあったもののように聞こえるが、クレジットカード下4桁がそこにあったとは思っていなかった。そして「ソルト/ハッシュ化されたパスワード」ではなく「パスワード」と書いているのを見ると、もっと多くのものが含まれていたように思える
      これがApacheやApache Rivetの問題で、サーバーに送られたあらゆる内容を横取りできた可能性も思い浮かぶ。そうだとすれば、その期間にログインしていた場合は実際のパスワード、何かを購入していた場合はクレジットカード情報まで含まれる可能性がある
      Rivetには危険な落とし穴が多かった。記憶が正しければ、変数はApacheの子プロセスのライフサイクル中ずっと残るので、明示的に消さない限り次のリクエストからアクセスできた。誰かが巨大な「設定されていそうな全変数を削除する」プロシージャを消したか実行しなかったうえ、さらに誰かがinfo varの出力を取得できていたなら、前のリクエスト、あるいは上書きされずに残っていたさらに古いリクエストの全設定値を見ることができただろう。ユーザー情報も大きなグローバルuser配列に保存されていた
    • 有効なアカウント(ADS-Bデータフィード)があるのに、このメールを受け取っていない点が興味深い
  • 8か月前、FlightAwareは技術スタック全体をTCLから移行するというブログ記事を書いていた。記事タイトルは「Managing a Technical Transformation (Part 1)」だが、Part 2は見つけられなかった
    https://flightaware.engineering/managing-a-technical-transfo...

  • 追加リンクをいくつか:
    https://www.404media.co/flightaware-exposed-pilots-and-users...
    メールに返信したときに返ってくる自動応答:
    https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
    https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...

  • 記事のどこにもパスワードが「ハッシュ化されている」とは書かれていないので、平文パスワードが流出したのだと推測してしまう
    これは他のすべての情報流出を合わせたよりも100倍ひどい。ユーザーにとって致命的になり得るうえ、そもそも平文で保存しなければ簡単に防げたからだ
    修正: 保存されたパスワードはハッシュ化されていたと誰かが言っている [1]。それが本当であることを願う
    [1] https://news.ycombinator.com/item?id=41278855

  • もう経営陣が責任を取るべき時だ。給与交渉のときには、あれほど頻繁に責任を持ち出すのだから

  • Webサイトにはまだ何もない。公式Discourseにだけ投稿されている:
    https://discussions.flightaware.com/t/closing-account-due-th...

  • FlightAwareの無料アカウントを持っていて、ときどきApple経由で広告削除のアプリ内課金を購入したことがある。私のメールアドレス以外に、彼らが実際にどんな個人情報や請求情報を持っているのか気になる