Rò rỉ dữ liệu khách hàng của FlightAware (tên, địa chỉ email và mật khẩu)

 (loyaltylobby.com)
1 điểm bởi GN⁺ 2024-08-19 | 1 bình luận | Chia sẻ qua WhatsApp
  • FlightAware gia nhập danh sách các công ty dường như đã không thể bảo vệ an toàn dữ liệu người dùng và để lộ toàn bộ
  • Theo email FlightAware gửi hôm qua, gần như mọi dữ liệu khách hàng có thể đã bị lộ, bao gồm ID người dùng, mật khẩu, địa chỉ email, họ tên, địa chỉ thanh toán, địa chỉ giao hàng, địa chỉ IP, tài khoản mạng xã hội, số điện thoại, năm sinh và 4 số cuối của thẻ tín dụng

Thông báo FlightAware gửi cho người dùng

  • Vào ngày 25 tháng 7, công ty phát hiện một lỗi cấu hình có thể đã vô tình làm lộ thông tin cá nhân trong tài khoản FlightAware
  • Thông tin bị lộ có thể bao gồm, ngoài ID người dùng, mật khẩu và địa chỉ email, còn có họ tên, địa chỉ thanh toán, địa chỉ giao hàng, địa chỉ IP, tài khoản mạng xã hội, số điện thoại, năm sinh, 4 số cuối của thẻ tín dụng, thông tin về máy bay sở hữu, ngành nghề, chức danh, tình trạng có phải phi công hay không và hoạt động tài khoản (các chuyến bay đã xem, bình luận đã đăng, v.v.)
  • Ngay khi phát hiện việc lộ lọt, công ty đã lập tức sửa lỗi cấu hình và để thận trọng hơn đang yêu cầu tất cả người dùng có thể bị ảnh hưởng đặt lại mật khẩu

Kết luận

  • Không hiểu vì sao việc ngăn các công ty kiểu này để dữ liệu khách hàng bị lộ trên web công khai lại khó đến vậy
  • FlightAware đã mất hơn 3 tuần để thông báo cho người dùng, vi phạm quy định bảo vệ người tiêu dùng của EU yêu cầu phải thông báo về khả năng rò rỉ dữ liệu trong vòng 72 giờ

Ý kiến của GN⁺

  • Sự cố rò rỉ dữ liệu một lần nữa nhắc lại tầm quan trọng của quyền riêng tư và an ninh mạng. Các doanh nghiệp cần nỗ lực nhiều hơn để bảo vệ an toàn dữ liệu khách hàng
  • Đặc biệt với các công ty liên quan đến hàng không như FlightAware, rò rỉ dữ liệu khách hàng có thể dẫn đến các mối đe dọa an ninh nghiêm trọng. Ví dụ, khủng bố có thể lợi dụng thông tin hành khách
  • Khi xảy ra sự cố rò rỉ dữ liệu, việc phản ứng nhanh chóng và minh bạch là rất quan trọng. FlightAware đã không thông báo kịp thời cho người dùng do vi phạm quy định của EU. Điều này có thể làm suy giảm độ tin cậy của công ty
  • Khách hàng nên tuân thủ các nguyên tắc bảo mật cơ bản như sử dụng mật khẩu mạnh và thay đổi định kỳ để bảo vệ thông tin cá nhân của mình. Đồng thời cũng cần cảnh giác với email hoặc liên kết đáng ngờ
  • Doanh nghiệp cần áp dụng nhiều biện pháp bảo mật kỹ thuật và quản trị như mã hóa dữ liệu, kiểm soát truy cập và giám sát thời gian thực. Ngoài ra cũng cần chuẩn bị ở cấp độ tổ chức như đào tạo bảo mật cho nhân viên và xây dựng sổ tay ứng phó khủng hoảng

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-08-19
Ý kiến trên Hacker News
  • Rò rỉ thông tin cá nhân: Ngoài tên, email và mật khẩu, còn bao gồm họ tên đầy đủ, địa chỉ thanh toán, địa chỉ giao hàng, địa chỉ IP, tài khoản mạng xã hội, số điện thoại, ngày sinh, 4 số cuối của thẻ tín dụng, thông tin máy bay sở hữu, nghề nghiệp, có phải phi công hay không, hoạt động tài khoản, v.v.
  • Ngừng hỗ trợ ứng dụng FlightAware trên iOS: Ngừng hỗ trợ iOS 15, buộc người dùng phải mua điện thoại mới, trong khi các ứng dụng khác vẫn hoạt động trên thiết bị cũ
  • Xác minh tính xác thực của email: Có đề cập đến việc rò rỉ mật khẩu, nhưng không rõ có bị băm hay không, và mất 3 tuần mới gửi email thông báo
  • Khả năng rò rỉ mật khẩu dạng văn bản thuần: Có khả năng mật khẩu không được băm đã bị lộ, gây thiệt hại lớn cho người dùng, trong khi đây là điều có thể phòng tránh dễ dàng
    • Chỉnh sửa: Có người khẳng định mật khẩu được lưu dưới dạng đã băm
  • Chuyển đổi tech stack: 8 tháng trước có đăng bài blog về việc chuyển đổi tech stack từ TCL, nhưng không tìm thấy Phần 2
  • Liên kết bổ sung: Cung cấp link đến bài viết liên quan đến vụ rò rỉ và tweet trả lời tự động
  • Trách nhiệm của ban điều hành: Ban điều hành phải chịu trách nhiệm
  • Kiểm tra thông tin cá nhân: Dùng tài khoản miễn phí của FlightAware, thắc mắc ngoài email ra họ còn lưu những thông tin cá nhân/thanh toán nào
  • Yêu cầu thông báo theo GDPR: Khi rò rỉ dữ liệu cá nhân, phải thông báo cho cơ quan giám sát trong vòng 72 giờ, và phải thông báo cho người dùng không chậm trễ; việc FlightAware chậm 3 tuần là có vấn đề
  • Không có thông báo trên website: Chỉ có thông báo trên Discourse chính thức