FlightAware ha chiesto agli utenti di cambiare la password dell’account, dopo aver scoperto che i loro dati personali erano accessibili a tutti in seguito ad un errore di configurazione. Il grave problema di sicurezza era presente da oltre 3 anni, ma è stato scoperto dall’azienda statunitense solo a fine luglio 2024.
Reset obbligatorio della password
FlightAware è considerata la più grande piattaforma di tracking dei voli nel mondo con una rete di oltre 32.000 stazioni ADS-B (Automatic Dependent Surveillance-Broadcast) in 200 paesi. Riceve inoltre i dati dai sistemi di controllo del traffico aereo di 45 paesi, dagli ADS-B satellitari di Aireon e dai datalink (satellitari/VHF) di vari fornitori, tra cui ARINC, SITA, Satcom Direct, Garmin e Honeywell GoDirect.
Come specificato sul sito ufficiale, l’errore di configurazione è stato scoperto il 25 luglio. I dati degli account sono stati quindi inavvertitamente esposti online. Con la comunicazione inviata all’ufficio del Procuratore generale della California viene specificato che il “leak” è iniziato il 1 gennaio 2021, ovvero oltre 3 anni fa.
Sicuramente erano accessibili a tutti tre dati: user ID, indirizzo email e password. In base alle informazioni inserite nell’account potrebbero essere stati divulgati anche nome completo, indirizzo di fatturazione, indirizzo di spedizione, indirizzo IP, account sui social media, numero di telefono, anno di nascita, ultime quattro cifre della carta di credito, informazioni sull’aereo posseduto, status di pilota, attività dell’account e numero di sicurezza sociale (solo per gli utenti statunitensi).
FlightAware non ha fornito dettagli sull’errore di configurazione, ma è stato risolto. Al primo login, agli utenti verrà chiesto il reset obbligatorio della password. Per evitare attacchi di credential stuffing è necessario cambiare la password (se identica) usata per l’accesso ad altri servizi.