1 पॉइंट द्वारा GN⁺ 2024-08-19 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • FlightAware ने 25 जुलाई 2024 को मिली एक configuration error के कारण अकाउंट की निजी जानकारी के उजागर होने की आशंका जताई है और संभावित रूप से प्रभावित यूज़र्स से password reset करने को कहा है
  • संभावित रूप से उजागर हुई जानकारी में user ID, password और email address शामिल हैं, और यूज़र द्वारा दी गई जानकारी के अनुसार नाम, पता, IP address, फोन नंबर, जन्म वर्ष और credit card के आख़िरी 4 अंक तक शामिल हो सकते हैं
  • कंपनी ने समस्या मिलने के बाद configuration error को ठीक कर दिया, और यूज़र्स को अगली login पर password reset निर्देश मिलेगा या वे account reset link का इस्तेमाल कर सकते हैं
  • नोटिस में साफ़ कहा गया है कि सूचना में हुई देरी law enforcement investigation की वजह से नहीं थी, और privacy से जुड़े सवाल privacy@flightaware.com या Houston पते पर Privacy टीम को भेजे जा सकते हैं
  • 16 अगस्त 2024 तक, यह नोटिस खोज की तारीख के 3 हफ्तों से अधिक समय बाद जारी किया गया, और मूल लेख ने इसे EU की 72-hour notification requirement के उल्लंघन के रूप में आंका है

configuration error से अकाउंट जानकारी के उजागर होने की आशंका

  • FlightAware ने यूज़र्स को भेजे गए ईमेल में अकाउंट की निजी जानकारी के संभावित रूप से उजागर होने वाली data security incident की सूचना दी
  • यह घटना 25 जुलाई 2024 को मिली एक configuration error से जुड़ी है
  • संभावित रूप से प्रभावित सभी यूज़र्स को password reset करना होगा
  • यूज़र्स को अगली FlightAware login पर password reset prompt मिलेगा, या वे account reset link का इस्तेमाल कर सकते हैं

कौन-सी जानकारी उजागर हो सकती है

  • डिफ़ॉल्ट रूप से जिन जानकारियों के उजागर होने की संभावना बताई गई है, वे इस प्रकार हैं
    • user ID
    • password
    • email address
  • यूज़र ने अकाउंट में जो जानकारी दी है, उसके आधार पर अतिरिक्त आइटम भी शामिल हो सकते हैं
    • पूरा नाम
    • billing address
    • shipping address
    • IP address
    • social media account
    • फोन नंबर
    • जन्म वर्ष
    • credit card number के आख़िरी 4 अंक
    • स्वामित्व वाले aircraft से जुड़ी जानकारी
    • industry
    • job title
    • क्या यूज़र pilot है
    • account activity, जैसे देखी गई flights और पोस्ट की गई comments

FlightAware की प्रतिक्रिया और संपर्क चैनल

  • FlightAware ने संभावित exposure का पता चलते ही configuration error को तुरंत ठीक कर दिया
  • संभावित रूप से प्रभावित सभी यूज़र्स को password reset पूरा करना होगा
  • नोटिस में कहा गया है कि यह सूचना law enforcement investigation के कारण देरी से नहीं दी गई
  • privacy से जुड़ी अतिरिक्त सहायता के लिए संपर्क इस प्रकार हैं
    • ईमेल: privacy@flightaware.com
    • डाक: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046

नोटिस में देरी और नियमों को लेकर विवाद

  • घटना का पता 25 जुलाई 2024 को चला था
  • यूज़र नोटिस के बारे में बताया गया कि 16 अगस्त 2024 को पोस्ट प्रकाशित होने के समय तक इसे एक दिन पहले भेजा गया था
  • मूल लेख का आकलन है कि FlightAware ने संभावित data breach के बारे में 72 घंटों के भीतर यूज़र्स को सूचित करने की EU consumer protection requirement का उल्लंघन किया
  • खोज के बाद नोटिस जारी होने में 3 हफ्तों से अधिक लगना मुख्य विवाद बना हुआ है

यूज़र्स को क्या जांचना चाहिए

  • FlightAware अकाउंट यूज़र्स को अगली login पर password reset करना होगा
  • क्योंकि संभावित रूप से उजागर जानकारी में password और email address शामिल हैं, इसलिए जो यूज़र्स वही password दूसरी सेवाओं में इस्तेमाल करते हैं उन्हें अलग से जांच करनी चाहिए
  • FlightAware का आधिकारिक privacy संपर्क चैनल privacy@flightaware.com है

1 टिप्पणियां

 
GN⁺ 2024-08-19
Hacker News की राय
  • शीर्षक अधूरा है या लगभग भ्रामक स्तर का है। लीक हुई जानकारी नाम, ईमेल और पासवर्ड से कहीं ज्यादा है:
    आपने जो जानकारी दी थी उसके आधार पर इसमें पूरा नाम, बिलिंग पता, शिपिंग पता, IP पता, सोशल मीडिया अकाउंट, फोन नंबर, जन्म वर्ष, क्रेडिट कार्ड के आखिरी 4 अंक, स्वामित्व वाले aircraft की जानकारी, industry, job title, पायलट हैं या नहीं, account activity (देखी गई flights और लिखे गए comments आदि) तक शामिल हो सकते थे।
    सुनने में ऐसा लगता है कि profile से जुड़ी लगभग हर जानकारी प्रभावित हुई है। शुक्र है, जहां तक याद है मैंने account को अलग से इस्तेमाल नहीं किया था और disposable email तथा password इस्तेमाल किए थे।

    • यह पूरा database dump जैसा लगता है।
    • मैं शीर्षक की अपनी तरफ से व्याख्या नहीं करना चाहता था, लेकिन dang शीर्षक बदल दें तो ठीक है।
  • FlightAware के iOS app ने भी अभी-अभी iOS 15 support बंद किया है, लेकिन पुराने app को चलते रहने देने के बजाय iOS 15 users को नया phone खरीदने जैसा कहने वाला full-screen modal दिखाकर उस app का इस्तेमाल ही रोक दिया, जो पिछले हफ्ते तक ठीक चल रहा था।
    मेरे phone के बाकी apps पुराने device पर भी शालीन तरीके से चलते रहते हैं, सिर्फ यही app ऐसा करता है। यह बिल्कुल बेतुका है, और कोई normal app backward compatibility को इस तरह handle नहीं करता। उनके developers ऐसे लगते हैं जैसे उन्हें पता ही नहीं कि वे क्या कर रहे हैं।

    • यह सोच मजेदार है कि developer के पास यह तय करने का अधिकार था कि क्या support करना है। यह साफ तौर पर management का फैसला है, नहीं तो शायद CEO का।
    • निष्पक्ष रूप से कहें तो, आप अभी 8 साल पुराना device इस्तेमाल कर रहे हैं और Apple support भी 2 साल पहले बंद हो चुका है। संभव है कि कुछ websites पहले से काम न करें, और “web service” app wrappers पर भी वैसी ही सीमाएं होना तय है।
      उस device को support करने के लिए शायद उन्हें पुराने webapp version को बनाए रखना पड़ेगा, और यह मुफ्त में नहीं होता। किसी free app में device को 7 साल तक support करना पहले ही काफी लंबा समय है, और iOS 18 आने ही वाला है, ऐसे में support बंद करना धीरे-धीरे और ज्यादा जायज लगता है।
  • email असली है, यह confirm किया जा सकता है। मुझे भी मिला। अहम बात यह है कि उन्होंने password leak कहा है।
    यह mention नहीं किया कि वे hashed थे या अगर थे तो salt था या नहीं, और मुझे कोई blog post भी नहीं मिला। notification email आने में 3 हफ्ते से ज्यादा लगे, यह प्रभावित करने वाला नहीं है।

    • पहले वहां काम कर चुके व्यक्ति के तौर पर, passwords database में निश्चित रूप से salt करके hash किए हुए stored थे।
      email की बातें मोटे तौर पर user account table में मौजूद चीजों जैसी लगती हैं, लेकिन मुझे नहीं लगता था कि credit card के आखिरी 4 अंक वहां थे। और “salted/hashed passwords” के बजाय “passwords” लिखने से लगता है कि इससे ज्यादा कुछ था।
      यह Apache या Apache Rivet की समस्या भी हो सकती है, जिससे server को भेजी गई सारी चीजें intercept हुई हों। तब अगर आपने उस अवधि में login किया था तो actual password, और अगर कुछ खरीदा था तो credit card जानकारी तक शामिल हो सकती है।
      Rivet में कई खतरनाक traps थे। याद है कि variables Apache child process के lifecycle के दौरान बने रहते थे, इसलिए अगर उन्हें हाथ से clear न किया जाए तो अगले request में access किए जा सकते थे। अगर किसी ने “हमने जो भी variables set किए होंगे, सब delete करो” वाली विशाल procedure हटा दी या चलाया नहीं, और किसी ने info var output पा लिया, तो वह पिछले request, या overwrite न हुए और पुराने requests के सारे settings देख सकता था। user जानकारी भी एक बड़े global user array में stored थी।
    • दिलचस्प है कि active account (ADS-B data feed) होने के बावजूद मुझे यह email नहीं मिला।
  • 8 महीने पहले FlightAware ने अपने पूरे tech stack को TCL से migrate करने पर एक blog post लिखा था। post का title “Managing a Technical Transformation (Part 1)” है, लेकिन Part 2 मुझे नहीं मिला।
    https://flightaware.engineering/managing-a-technical-transfo...

  • कुछ अतिरिक्त links:
    https://www.404media.co/flightaware-exposed-pilots-and-users...
    email का reply करने पर आने वाला auto-response:
    https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
    https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...

  • article में कहीं भी password को “hashed” नहीं कहा गया है, इसलिए अनुमान यही लगता है कि plaintext passwords leak हुए हैं।
    यह बाकी सभी data breaches को मिलाकर भी उनसे 100 गुना खराब है। users के लिए यह विनाशकारी हो सकता है, और पहली जगह passwords को plaintext में store न करके इसे आसानी से रोका जा सकता था।
    edit: किसी ने कहा है कि stored passwords hashed थे [1]। उम्मीद है यह सही हो।
    [1] https://news.ycombinator.com/item?id=41278855

  • अब समय है कि management जिम्मेदारी ले। salary negotiation के समय तो वे इतनी बार accountability की बात करते हैं।

  • website पर अभी भी कुछ नहीं है। सिर्फ official Discourse पर post है:
    https://discussions.flightaware.com/t/closing-account-due-th...

  • मेरे पास FlightAware free account है, और कभी-कभार Apple के जरिए ads हटाने के लिए in-app purchase खरीदा है। मेरे email address के अलावा इनके पास वास्तव में मेरी कौन-सी personal information या billing information है, यह जानना चाहता हूं।