FlightAware ग्राहक डेटा लीक: नाम, ईमेल पते और पासवर्ड के उजागर होने की आशंका
(loyaltylobby.com)- FlightAware ने 25 जुलाई 2024 को मिली एक configuration error के कारण अकाउंट की निजी जानकारी के उजागर होने की आशंका जताई है और संभावित रूप से प्रभावित यूज़र्स से password reset करने को कहा है
- संभावित रूप से उजागर हुई जानकारी में user ID, password और email address शामिल हैं, और यूज़र द्वारा दी गई जानकारी के अनुसार नाम, पता, IP address, फोन नंबर, जन्म वर्ष और credit card के आख़िरी 4 अंक तक शामिल हो सकते हैं
- कंपनी ने समस्या मिलने के बाद configuration error को ठीक कर दिया, और यूज़र्स को अगली login पर password reset निर्देश मिलेगा या वे account reset link का इस्तेमाल कर सकते हैं
- नोटिस में साफ़ कहा गया है कि सूचना में हुई देरी law enforcement investigation की वजह से नहीं थी, और privacy से जुड़े सवाल privacy@flightaware.com या Houston पते पर Privacy टीम को भेजे जा सकते हैं
- 16 अगस्त 2024 तक, यह नोटिस खोज की तारीख के 3 हफ्तों से अधिक समय बाद जारी किया गया, और मूल लेख ने इसे EU की 72-hour notification requirement के उल्लंघन के रूप में आंका है
configuration error से अकाउंट जानकारी के उजागर होने की आशंका
- FlightAware ने यूज़र्स को भेजे गए ईमेल में अकाउंट की निजी जानकारी के संभावित रूप से उजागर होने वाली data security incident की सूचना दी
- यह घटना 25 जुलाई 2024 को मिली एक configuration error से जुड़ी है
- संभावित रूप से प्रभावित सभी यूज़र्स को password reset करना होगा
- यूज़र्स को अगली FlightAware login पर password reset prompt मिलेगा, या वे account reset link का इस्तेमाल कर सकते हैं
कौन-सी जानकारी उजागर हो सकती है
- डिफ़ॉल्ट रूप से जिन जानकारियों के उजागर होने की संभावना बताई गई है, वे इस प्रकार हैं
- user ID
- password
- email address
- यूज़र ने अकाउंट में जो जानकारी दी है, उसके आधार पर अतिरिक्त आइटम भी शामिल हो सकते हैं
- पूरा नाम
- billing address
- shipping address
- IP address
- social media account
- फोन नंबर
- जन्म वर्ष
- credit card number के आख़िरी 4 अंक
- स्वामित्व वाले aircraft से जुड़ी जानकारी
- industry
- job title
- क्या यूज़र pilot है
- account activity, जैसे देखी गई flights और पोस्ट की गई comments
FlightAware की प्रतिक्रिया और संपर्क चैनल
- FlightAware ने संभावित exposure का पता चलते ही configuration error को तुरंत ठीक कर दिया
- संभावित रूप से प्रभावित सभी यूज़र्स को password reset पूरा करना होगा
- नोटिस में कहा गया है कि यह सूचना law enforcement investigation के कारण देरी से नहीं दी गई
- privacy से जुड़ी अतिरिक्त सहायता के लिए संपर्क इस प्रकार हैं
- ईमेल: privacy@flightaware.com
- डाक: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046
नोटिस में देरी और नियमों को लेकर विवाद
- घटना का पता 25 जुलाई 2024 को चला था
- यूज़र नोटिस के बारे में बताया गया कि 16 अगस्त 2024 को पोस्ट प्रकाशित होने के समय तक इसे एक दिन पहले भेजा गया था
- मूल लेख का आकलन है कि FlightAware ने संभावित data breach के बारे में 72 घंटों के भीतर यूज़र्स को सूचित करने की EU consumer protection requirement का उल्लंघन किया
- खोज के बाद नोटिस जारी होने में 3 हफ्तों से अधिक लगना मुख्य विवाद बना हुआ है
यूज़र्स को क्या जांचना चाहिए
- FlightAware अकाउंट यूज़र्स को अगली login पर password reset करना होगा
- क्योंकि संभावित रूप से उजागर जानकारी में password और email address शामिल हैं, इसलिए जो यूज़र्स वही password दूसरी सेवाओं में इस्तेमाल करते हैं उन्हें अलग से जांच करनी चाहिए
- FlightAware का आधिकारिक privacy संपर्क चैनल privacy@flightaware.com है
1 टिप्पणियां
Hacker News की राय
शीर्षक अधूरा है या लगभग भ्रामक स्तर का है। लीक हुई जानकारी नाम, ईमेल और पासवर्ड से कहीं ज्यादा है:
आपने जो जानकारी दी थी उसके आधार पर इसमें पूरा नाम, बिलिंग पता, शिपिंग पता, IP पता, सोशल मीडिया अकाउंट, फोन नंबर, जन्म वर्ष, क्रेडिट कार्ड के आखिरी 4 अंक, स्वामित्व वाले aircraft की जानकारी, industry, job title, पायलट हैं या नहीं, account activity (देखी गई flights और लिखे गए comments आदि) तक शामिल हो सकते थे।
सुनने में ऐसा लगता है कि profile से जुड़ी लगभग हर जानकारी प्रभावित हुई है। शुक्र है, जहां तक याद है मैंने account को अलग से इस्तेमाल नहीं किया था और disposable email तथा password इस्तेमाल किए थे।
FlightAware के iOS app ने भी अभी-अभी iOS 15 support बंद किया है, लेकिन पुराने app को चलते रहने देने के बजाय iOS 15 users को नया phone खरीदने जैसा कहने वाला full-screen modal दिखाकर उस app का इस्तेमाल ही रोक दिया, जो पिछले हफ्ते तक ठीक चल रहा था।
मेरे phone के बाकी apps पुराने device पर भी शालीन तरीके से चलते रहते हैं, सिर्फ यही app ऐसा करता है। यह बिल्कुल बेतुका है, और कोई normal app backward compatibility को इस तरह handle नहीं करता। उनके developers ऐसे लगते हैं जैसे उन्हें पता ही नहीं कि वे क्या कर रहे हैं।
उस device को support करने के लिए शायद उन्हें पुराने webapp version को बनाए रखना पड़ेगा, और यह मुफ्त में नहीं होता। किसी free app में device को 7 साल तक support करना पहले ही काफी लंबा समय है, और iOS 18 आने ही वाला है, ऐसे में support बंद करना धीरे-धीरे और ज्यादा जायज लगता है।
email असली है, यह confirm किया जा सकता है। मुझे भी मिला। अहम बात यह है कि उन्होंने password leak कहा है।
यह mention नहीं किया कि वे hashed थे या अगर थे तो salt था या नहीं, और मुझे कोई blog post भी नहीं मिला। notification email आने में 3 हफ्ते से ज्यादा लगे, यह प्रभावित करने वाला नहीं है।
email की बातें मोटे तौर पर user account table में मौजूद चीजों जैसी लगती हैं, लेकिन मुझे नहीं लगता था कि credit card के आखिरी 4 अंक वहां थे। और “salted/hashed passwords” के बजाय “passwords” लिखने से लगता है कि इससे ज्यादा कुछ था।
यह Apache या Apache Rivet की समस्या भी हो सकती है, जिससे server को भेजी गई सारी चीजें intercept हुई हों। तब अगर आपने उस अवधि में login किया था तो actual password, और अगर कुछ खरीदा था तो credit card जानकारी तक शामिल हो सकती है।
Rivet में कई खतरनाक traps थे। याद है कि variables Apache child process के lifecycle के दौरान बने रहते थे, इसलिए अगर उन्हें हाथ से clear न किया जाए तो अगले request में access किए जा सकते थे। अगर किसी ने “हमने जो भी variables set किए होंगे, सब delete करो” वाली विशाल procedure हटा दी या चलाया नहीं, और किसी ने
info varoutput पा लिया, तो वह पिछले request, या overwrite न हुए और पुराने requests के सारे settings देख सकता था। user जानकारी भी एक बड़े globaluserarray में stored थी।8 महीने पहले FlightAware ने अपने पूरे tech stack को TCL से migrate करने पर एक blog post लिखा था। post का title “Managing a Technical Transformation (Part 1)” है, लेकिन Part 2 मुझे नहीं मिला।
https://flightaware.engineering/managing-a-technical-transfo...
कुछ अतिरिक्त links:
https://www.404media.co/flightaware-exposed-pilots-and-users...
email का reply करने पर आने वाला auto-response:
https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...
article में कहीं भी password को “hashed” नहीं कहा गया है, इसलिए अनुमान यही लगता है कि plaintext passwords leak हुए हैं।
यह बाकी सभी data breaches को मिलाकर भी उनसे 100 गुना खराब है। users के लिए यह विनाशकारी हो सकता है, और पहली जगह passwords को plaintext में store न करके इसे आसानी से रोका जा सकता था।
edit: किसी ने कहा है कि stored passwords hashed थे [1]। उम्मीद है यह सही हो।
[1] https://news.ycombinator.com/item?id=41278855
अब समय है कि management जिम्मेदारी ले। salary negotiation के समय तो वे इतनी बार accountability की बात करते हैं।
website पर अभी भी कुछ नहीं है। सिर्फ official Discourse पर post है:
https://discussions.flightaware.com/t/closing-account-due-th...
मेरे पास FlightAware free account है, और कभी-कभार Apple के जरिए ads हटाने के लिए in-app purchase खरीदा है। मेरे email address के अलावा इनके पास वास्तव में मेरी कौन-सी personal information या billing information है, यह जानना चाहता हूं।