1 điểm bởi GN⁺ 2024-08-19 | 1 bình luận | Chia sẻ qua WhatsApp
  • FlightAware yêu cầu đặt lại mật khẩu đối với những người dùng có khả năng bị ảnh hưởng, do một lỗi cấu hình được phát hiện vào ngày 25/7/2024 có thể đã làm lộ thông tin cá nhân tài khoản
  • Thông tin có thể bị lộ bao gồm ID người dùng, mật khẩu và địa chỉ email; tùy theo thông tin người dùng đã nhập, còn có thể bao gồm tên, địa chỉ, địa chỉ IP, số điện thoại, năm sinh và 4 số cuối của thẻ tín dụng
  • Công ty cho biết đã sửa lỗi cấu hình sau khi phát hiện vấn đề, và người dùng sẽ nhận được hướng dẫn đặt lại mật khẩu ở lần đăng nhập tiếp theo hoặc có thể sử dụng liên kết đặt lại tài khoản
  • Thông báo nêu rõ việc chậm gửi cảnh báo không phải do điều tra của cơ quan thực thi pháp luật, và các câu hỏi về quyền riêng tư được tiếp nhận qua privacy@flightaware.com hoặc bộ phận Privacy tại địa chỉ ở Houston
  • Tính đến ngày 16/8/2024, thông báo được đưa ra hơn 3 tuần sau ngày phát hiện, và bài gốc đánh giá đây là vi phạm yêu cầu thông báo trong 72 giờ của EU

Khả năng lộ thông tin tài khoản do lỗi cấu hình

  • Trong email gửi cho người dùng, FlightAware đã thông báo về một sự cố bảo mật dữ liệu có thể đã làm lộ thông tin cá nhân tài khoản
  • Sự cố liên quan đến một lỗi cấu hình được phát hiện vào ngày 25/7/2024
  • Tất cả người dùng có khả năng bị ảnh hưởng đều phải đặt lại mật khẩu
  • Người dùng sẽ nhận được lời nhắc đặt lại mật khẩu trong lần đăng nhập FlightAware tiếp theo, hoặc có thể dùng liên kết đặt lại tài khoản

Những thông tin có thể bị lộ

  • Các thông tin cơ bản được nêu là có khả năng bị lộ gồm:
    • ID người dùng
    • Mật khẩu
    • Địa chỉ email
  • Tùy theo thông tin người dùng đã cung cấp cho tài khoản, có thể bao gồm thêm:
    • Họ và tên đầy đủ
    • Địa chỉ thanh toán
    • Địa chỉ giao hàng
    • Địa chỉ IP
    • Tài khoản mạng xã hội
    • Số điện thoại
    • Năm sinh
    • 4 số cuối của thẻ tín dụng
    • Thông tin liên quan đến máy bay sở hữu
    • Ngành nghề
    • Chức danh
    • Có phải phi công hay không
    • Hoạt động tài khoản, ví dụ như các chuyến bay đã xem và bình luận đã đăng

Phản ứng của FlightAware và kênh liên hệ

  • FlightAware cho biết đã ngay lập tức sửa lỗi cấu hình sau khi phát hiện khả năng lộ dữ liệu
  • Tất cả người dùng có khả năng bị ảnh hưởng đều phải hoàn tất việc đặt lại mật khẩu
  • Thông báo nêu rõ rằng lần cảnh báo này không bị trì hoãn vì cuộc điều tra của cơ quan thực thi pháp luật
  • Các đầu mối liên hệ để được hỗ trợ thêm về quyền riêng tư gồm:
    • Email: privacy@flightaware.com
    • Thư tín: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046

Tranh cãi về việc chậm thông báo và quy định

  • Ngày phát hiện sự cố là 25/7/2024
  • Tại thời điểm bài đăng ngày 16/8/2024, thông báo tới người dùng được giới thiệu là đã được gửi vào ngày hôm trước
  • Bài gốc đánh giá FlightAware đã vi phạm quy định bảo vệ người tiêu dùng của EU yêu cầu phải thông báo cho người dùng trong vòng 72 giờ về vụ rò rỉ dữ liệu tiềm tàng
  • Vấn đề cốt lõi vẫn là việc mất hơn 3 tuần từ khi phát hiện đến khi gửi thông báo

Những điều người dùng cần kiểm tra

  • Người dùng tài khoản FlightAware cần thực hiện đặt lại mật khẩu ở lần đăng nhập tiếp theo
  • Vì thông tin có thể bị lộ bao gồm mật khẩu và địa chỉ email, những người dùng sử dụng cùng một mật khẩu ở dịch vụ khác cần kiểm tra riêng
  • Kênh liên hệ chính thức của FlightAware cho các câu hỏi về quyền riêng tư là privacy@flightaware.com

1 bình luận

 
GN⁺ 2024-08-19
Ý kiến trên Hacker News
  • Tiêu đề chưa đầy đủ, thậm chí gần như gây hiểu nhầm. Dữ liệu bị lộ nhiều hơn rất nhiều so với tên, email và mật khẩu:
    Tùy vào thông tin đã cung cấp, có thể bao gồm họ tên đầy đủ, địa chỉ thanh toán, địa chỉ giao hàng, địa chỉ IP, tài khoản mạng xã hội, số điện thoại, năm sinh, 4 số cuối của thẻ tín dụng, thông tin máy bay sở hữu, ngành nghề, chức danh, có phải phi công hay không, hoạt động tài khoản (như các chuyến bay đã xem và bình luận đã viết)
    Nghe như gần như mọi thông tin gắn với hồ sơ đều bị ảnh hưởng. May mà theo như tôi nhớ thì tôi không dùng tài khoản đó cho việc gì riêng biệt, và đã dùng email dùng một lần cùng mật khẩu dùng một lần

    • Nghe như dump toàn bộ cơ sở dữ liệu
    • Tôi không muốn tự diễn giải tiêu đề, nhưng nếu dang muốn đổi tiêu đề thì cứ tự nhiên
  • Ứng dụng iOS của FlightAware cũng vừa ngừng hỗ trợ iOS 15, nhưng thay vì để ứng dụng cũ tiếp tục chạy, họ hiện một modal toàn màn hình bảo người dùng iOS 15 đi mua điện thoại mới, chặn luôn việc dùng ứng dụng vốn vẫn hoạt động tốt cho đến tận tuần trước
    Các ứng dụng khác trên điện thoại tôi vẫn tiếp tục hoạt động ổn trên thiết bị cũ, chỉ ứng dụng này là như vậy. Chuyện này hoàn toàn vô lý, và không phải cách một ứng dụng tử tế xử lý tương thích ngược. Đội phát triển bên đó trông như những kẻ hề không biết mình đang làm gì

    • Ý tưởng cho rằng lập trình viên có quyền quyết định hỗ trợ cái gì khá buồn cười. Đây rõ ràng là quyết định của quản lý, hoặc rất có thể là của CEO
    • Nói công bằng thì thiết bị hiện tại đã 8 năm tuổi, và Apple cũng ngừng hỗ trợ từ 2 năm trước. Có lẽ một số website giờ đã không còn hoạt động, và các ứng dụng bọc kiểu “dịch vụ web” cũng khó tránh khỏi các giới hạn tương tự
      Muốn hỗ trợ thiết bị đó thì có lẽ phải tiếp tục duy trì phiên bản webapp cũ, mà chuyện đó đâu có miễn phí. Một ứng dụng miễn phí hỗ trợ thiết bị trong 7 năm vốn đã là khá lâu, và khi iOS 18 đã ở rất gần thì việc ngừng hỗ trợ ngày càng hợp lý hơn
  • Có thể xác nhận email đó là thật. Tôi cũng nhận được. Điều quan trọng là họ đã nói tới rò rỉ mật khẩu
    Họ không nhắc mật khẩu có được băm hay không, nếu có thì có dùng salt không, và tôi cũng không tìm thấy bài đăng blog nào. Việc email thông báo mất hơn 3 tuần mới gửi thì không có gì đáng khen

    • Với tư cách là người từng làm ở đó, mật khẩu chắc chắn được lưu trong cơ sở dữ liệu dưới dạng băm có salt
      Nội dung email nhìn chung nghe giống như những gì có trong bảng tài khoản người dùng, nhưng tôi không nghĩ 4 số cuối thẻ tín dụng lại nằm ở đó. Và việc họ viết là “mật khẩu” thay vì “mật khẩu đã được salt/hash” khiến tôi nghĩ còn có nhiều thứ khác đã bị lộ hơn
      Cũng khiến tôi nghĩ đây có thể là vấn đề với Apache hoặc Apache Rivet, nơi mọi nội dung gửi tới máy chủ đều có thể đã bị chặn lại. Nếu vậy, nếu bạn đăng nhập trong khoảng thời gian đó thì có thể cả mật khẩu thật, và nếu bạn mua gì đó thì cả thông tin thẻ tín dụng cũng bị lộ
      Rivet có rất nhiều cạm bẫy nguy hiểm. Nếu tôi nhớ không nhầm, các biến sẽ tồn tại suốt vòng đời của tiến trình con Apache, nên nếu không tự xóa thì chúng vẫn có thể bị truy cập ở request tiếp theo. Nếu ai đó đã xóa hoặc không chạy thủ tục khổng lồ kiểu “xóa mọi biến mà có lẽ chúng ta đã thiết lập”, rồi lại có ai đó lấy được đầu ra của info var, thì họ có thể thấy mọi giá trị đã được thiết lập từ request trước đó, hoặc từ các request cũ hơn nữa nếu chưa bị ghi đè. Thông tin người dùng cũng được lưu trong một mảng toàn cục lớn tên user
    • Điều thú vị là tôi có tài khoản đang hoạt động (nguồn dữ liệu ADS-B) nhưng lại không nhận được email này
  • 8 tháng trước FlightAware đã viết một bài blog nói rằng họ đang chuyển khỏi TCL cho toàn bộ tech stack. Tiêu đề bài là “Managing a Technical Transformation (Part 1)”, nhưng tôi không tìm được Part 2
    https://flightaware.engineering/managing-a-technical-transfo...

  • Thêm vài liên kết:
    https://www.404media.co/flightaware-exposed-pilots-and-users...
    Tự động trả lời khi phản hồi email:
    https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
    https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V...

  • Không chỗ nào trong bài viết nói rằng mật khẩu đã được “băm”, nên người ta sẽ suy ra rằng mật khẩu dạng văn bản thuần đã bị lộ
    Điều này tệ hơn gấp 100 lần tất cả các vụ rò rỉ dữ liệu khác cộng lại. Nó có thể gây hậu quả nghiêm trọng cho người dùng, trong khi lẽ ra rất dễ phòng tránh nếu ngay từ đầu không lưu ở dạng văn bản thuần
    Sửa: có người nói mật khẩu lưu trữ là dạng băm [1]. Hy vọng điều đó là đúng
    [1] https://news.ycombinator.com/item?id=41278855

  • Đã đến lúc ban lãnh đạo phải chịu trách nhiệm. Khi đàm phán lương thưởng thì họ thường nhắc đến trách nhiệm rất nhiều mà

  • Trên website vẫn chưa có gì. Chỉ có trên Discourse chính thức:
    https://discussions.flightaware.com/t/closing-account-due-th...

  • Tôi có tài khoản miễn phí FlightAware, và thỉnh thoảng từng mua gói xóa quảng cáo trong ứng dụng qua Apple. Tôi muốn biết ngoài địa chỉ email của tôi ra thì họ thực sự còn nắm thông tin cá nhân hay thông tin thanh toán nào khác