Beim US-Unternehmen FlightAware hat es einen veritablen Datenschutzvorfall gegeben. Ein Konfigurationsfehler bewirkte, dass Daten von Millionen Benutzern öffentlich per Internet abrufbar waren. Neben der Benutzer-ID sind so auch E-Mail-Adressen sowie das Passwort abrufbar gewesen. Ist zwar ein "Nischenthema", aber inzwischen haben mich zwei Blog-Leser auf den Vorfall hingewiesen. Es gibt offenbar einige Leute, die sich auf der Plattform registriert haben, um Flugdaten verfolgen zu können.
Anzeige
Wer Ist FlightAware
FlightAware ist ein globales Unternehmen für Luftfahrt-Software und -Datendienste mit Sitz in Houston, Texas, USA. Das Unternehmen betreibt eine Website und eine mobile Anwendung, die eine kostenlose Flugverfolgung von etwa 70 % aller Verkehrsflugzeuge und etwa 10 % aller privaten Flugzeuge ermöglicht. FlightAware stellt weltweit Flugzeug- und Flughafenbetreibern sowie anderen Luftfahrtorganisationen Dienste und Daten zur Verfügung, um diese bei ihren Operationen zu unterstützen.
Ende 2004 wollte der Gründer des Unternehmens seiner Familie ermöglichen, seine privaten Flüge in den USA zu verfolgen. Da es diesen Service bisher nicht am Markt gab, beschloss er mit Freunden, einen solchen Dienst kostenlos anzubieten und gründete FlightAware. Am 17. März 2005 wurde FlightAware offiziell gegründet und begann mit der Verarbeitung von Live-Flugdaten. In den ersten 18 Monaten erzielte FlightAware einen Umsatz von über einer Million Dollar. FlightAware ist seit 2006 profitabel und wächst seit April 2014 um 40–50 % pro Jahr.
Seit Juni 2016 stellt FlightAware monatlich über 250 Millionen Flight-Tracking-Seiten für über zwölf Millionen Benutzer bereit. FlightAware meldete laut Wikipedia im Januar 2019 über 10 Mio. registrierte Benutzer. Das Unternehmen soll seit 2006 profitabel sein und für das Jahr 2009 habe ich einen Umsatz von 4 Millionen US-Dollar gefunden.
Anzeige
Leser informieren mich über einen Vorfall
Oliver hat mich bereits gestern über einen Datenschutzvorfall beim Unternehmen informiert ("eher eine Nischeninfo/Randsplitter, jedoch der Abfluss was da passiert ist, nicht so wirklich zu unterschätzen imho."). Weil er dort als Benutzer registriert ist, hat er eine entsprechende Benachrichtigung per E-Mail erhalten. Die Benachrichtigung liegt mir vor, lässt sich hier aber auch als PDF abrufen.
Auch Nicolas hatte sich die Nacht in einer persönlichen Nachricht auf Facebook gemeldet und mich auf den Vorfall hingewiesen – danke an beide Leser für den Hinweis. Und zum 18. August 2024 liegt mir auch eine Mail von Henning zum Vorfall vor, der schrieb "FlightAware ist ein Dienst zur Echtzeit-Flugverfolgung, der Informationen wie Flugstatus, Routen und Verspätungen bereitstellt. Die Plattform wird von Millionen Nutzern weltweit genutzt, darunter Fluggesellschaften, Flughäfen und Reisende, mit über 12 Millionen monatlichen Nutzern und mehr als 10.000 Unternehmen, die die Dienste in ihre Systeme integriert haben."
Datenschutzvorfall: Was ist passiert?
Am 25. Juli 2024 hat der Betreiber von FlightAware einen Konfigurationsfehler in seinen Systemen zur Abfrage der Fluginformationen entdeckt. Durch diesen Fehler wurden versehentlich die persönlichen Daten in FlightAware-Konten der registrierten Benutzer offengelegt hat. Das Unternehmen schreibt, dass möglicherweise Daten wie Benutzer-ID, Passwort und E-Mail-Adresse für Dritte abrufbar waren. Der Konfigurationsfehler wurde zwar nach seiner Entdeckung sofort behoben, aber ein Datenabfluss kann nicht ausgeschlossen werden.
Je nach den von von den Kunden bereitgestellten Informationen kann beim Datenleck auch der vollständige Name, die Rechnungsadresse, die Lieferadresse, die IP-Adresse, Kontendaten in sozialen Medien, Telefonnummern, Geburtsjahr, die letzten vier Ziffern der Kreditkartennummer, Informationen über das eigene Flugzeug, die Branche, den Titel des Benutzer, deren Pilotenstatus (ja/nein) sowie die Kontoaktivität (z. B. angesehene Flüge und gepostete Kommentare) offen gelegt worden sein. Kurzum: Es war alles potentiell für Dritte offen zugreifbar, was Benutzer auf der Platform an Daten angegeben hatten.
In einer Mail vom 18. August 2024 hat FlightAware dann alle betroffenen Nutzer über diesen Datenschutzvorfall per Mail informiert. Der Anbieter empfiehlt den Nutzern, das Passwort bei der nächsten Anmeldung zur Vorsicht zurückzusetzen (auf dieser Seite möglich). Der Anbieter bedauert den Vorfall, Benutzer dürften nun aber damit konfrontiert sein, dass ihre Daten in die Hände Dritter gelangt sind. Wer dort ein Konto besitzt, sollte die Zugangsdaten ändern und sich darauf einstellen, dass seine Daten ggf. für Phishing und andere kriminelle Aktionen missbraucht werden. Sollten die Zugangsdaten bei anderen Konten ebenfalls verwendet werden, sind diese auch dort zu ändern.
Datenleck seit 2021!
In der mir von Lesern vorliegenden Benachrichtigung hört sich das Ganze recht harmlos an. Man hat am 25. Juli 2024 den Konfigurationsfehler bemerkt, diese sofort beseitigt und die Nutzer (nicht ganz einen Monat nach der Entdeckung) bereits am 18. August 2024 benachrichtigt. Bei der Recherche zum Beitrag bin ich auf die Information der Kollegen von Bleeping Computer gestoßen, dass die Fehlkonfigurierung bereits seit dem 1. Januar 2021 vorlag. Quelle ist diese Meldung des Datenschutzvorfalls an die Behörden.
Bleeping Computer schreibt, dass allen Nutzern, die eine Benachrichtigung über einen Datenschutzvorfall erhalten haben, ein kostenloses 24-monatiges Identitätsschutzpaket von Equifax angeboten wird. Der Anbieter empfiehlt, verdächtige Aktivitäten den örtlichen Strafverfolgungsbehörden zu melden. Genau diese Information kann ich aus den mir vorliegenden Benachrichtigungen aber nicht herauslesen. Möglicherweise bezieht sich dieses Angebot nur auf US-Bürger.
Unklar ist aktuell auch, wie viele Nutzer betroffen sind (ich gehe von 20 Millionen Nutzern aus) und wie groß der Umfang des potentiellen Datenlecks ist. Es sind ja alle Flugdaten sowie Benutzerinformationen über 3 Jahre und fast 8 Monate potentiell einsehbar gewesen. Auch habe ich noch keinen Hinweis gefunden, ob die Daten durch unbefugte Dritte abgerufen wurden und bereits ein Missbrauch vorliegt. Ist jemand aus der Leserschaft betroffen?
Anzeige
War das Passwort da im Klartext gespeichert oder der Hash? Ich bin mir nicht sicher, wie ich das lesen soll.
Das wurde nicht offen gelegt.