- FlightAware उन कंपनियों की सूची में शामिल हो गया है जो उपयोगकर्ता डेटा को सुरक्षित रखने में विफल रहीं और लगता है कि लगभग सब कुछ लीक हो गया
- FlightAware द्वारा कल भेजे गए ईमेल के अनुसार, लगभग सभी ग्राहक डेटा संभावित रूप से उजागर हो सकते थे, जिनमें user ID, password, email address, पूरा नाम, billing address, shipping address, IP address, social media account, phone number, जन्म वर्ष, और credit card number के आखिरी 4 अंक शामिल हैं
FlightAware द्वारा उपयोगकर्ताओं को भेजा गया संदेश
- 25 जुलाई को, कंपनी ने एक configuration error का पता लगाया, जिसके कारण FlightAware account की व्यक्तिगत जानकारी गलती से उजागर हो सकती थी
- उजागर हुई जानकारी में user ID, password, और email address के अलावा पूरा नाम, billing address, shipping address, IP address, social media account, phone number, जन्म वर्ष, credit card number के आखिरी 4 अंक, स्वामित्व वाले aircraft की जानकारी, industry, job title, पायलट हैं या नहीं, और account activity (जैसे देखी गई flights, पोस्ट किए गए comments आदि) शामिल हो सकते थे
- एक्सपोज़र का पता चलते ही configuration error को तुरंत ठीक कर दिया गया, और अतिरिक्त सावधानी के तौर पर संभावित रूप से प्रभावित सभी उपयोगकर्ताओं से password reset करने को कहा जा रहा है
निष्कर्ष
- समझ नहीं आता कि इन कंपनियों के लिए ग्राहक डेटा को सार्वजनिक वेब पर उजागर होने से बचाना इतना मुश्किल क्यों है
- FlightAware ने EU consumer protection नियमों का उल्लंघन किया, जिनके तहत संभावित डेटा लीक की सूचना 72 घंटे के भीतर उपयोगकर्ताओं को देनी चाहिए थी, लेकिन इसमें 3 हफ्तों से अधिक समय लग गया
GN⁺ की राय
- डेटा लीक की घटनाएँ एक बार फिर privacy और cyber security के महत्व की याद दिलाती हैं। कंपनियों को ग्राहक डेटा को सुरक्षित रखने के लिए और अधिक प्रयास करने चाहिए
- खासकर FlightAware जैसी aviation-related कंपनियों के मामले में, ग्राहक डेटा लीक से गंभीर security threat पैदा हो सकता है। उदाहरण के लिए, आतंकवादी यात्री जानकारी का दुरुपयोग कर सकते हैं
- डेटा लीक होने पर तेज़ और पारदर्शी प्रतिक्रिया बेहद महत्वपूर्ण है। FlightAware ने EU नियमों का उल्लंघन करते हुए उपयोगकर्ताओं को समय पर सूचित नहीं किया। इससे कंपनी की विश्वसनीयता कम हो सकती है
- ग्राहकों को अपनी personal information की सुरक्षा के लिए मजबूत password का उपयोग करना चाहिए और उन्हें नियमित रूप से बदलना चाहिए जैसी बुनियादी security practices का पालन करना चाहिए। साथ ही suspicious email या link से सावधान रहना चाहिए
- कंपनियों को data encryption, access control, real-time monitoring जैसी विभिन्न तकनीकी और प्रशासनिक security measures अपनाने चाहिए। साथ ही कर्मचारियों के security training, incident response manual की तैयारी जैसी संगठन-स्तरीय तैयारी भी ज़रूरी है
1 टिप्पणियां
Hacker News राय