{"id":300020,"date":"2024-08-20T00:01:00","date_gmt":"2024-08-19T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=300020"},"modified":"2024-08-20T08:05:05","modified_gmt":"2024-08-20T06:05:05","slug":"datenleck-bei-flightaware-legt-nutzerdaten-offen-juli-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/20\/datenleck-bei-flightaware-legt-nutzerdaten-offen-juli-2024\/","title":{"rendered":"Datenleck bei FlightAware legt Nutzerdaten offen (Juli 2024)"},"content":{"rendered":"

\"SicherheitBeim US-Unternehmen FlightAware\u00a0 hat es einen veritablen Datenschutzvorfall gegeben. Ein Konfigurationsfehler bewirkte, dass Daten von Millionen Benutzern \u00f6ffentlich per Internet abrufbar waren. Neben der Benutzer-ID sind so auch E-Mail-Adressen sowie das Passwort abrufbar gewesen. Ist zwar ein \"Nischenthema\", aber inzwischen haben mich zwei Blog-Leser auf den Vorfall hingewiesen. Es gibt offenbar einige Leute, die sich auf der Plattform registriert haben, um Flugdaten verfolgen zu k\u00f6nnen.<\/p>\n

<\/p>\n

Wer Ist FlightAware<\/h2>\n

\"\"FlightAware<\/a> ist ein globales Unternehmen f\u00fcr Luftfahrt-Software und -Datendienste mit Sitz in Houston, Texas, USA. Das Unternehmen betreibt eine Website und eine mobile Anwendung, die eine kostenlose Flugverfolgung von etwa 70 % aller Verkehrsflugzeuge und etwa 10 % aller privaten Flugzeuge erm\u00f6glicht. FlightAware stellt weltweit Flugzeug- und Flughafenbetreibern sowie anderen Luftfahrtorganisationen Dienste und Daten zur Verf\u00fcgung, um diese bei ihren Operationen zu unterst\u00fctzen.<\/p>\n

Ende 2004 wollte der Gr\u00fcnder des Unternehmens seiner Familie erm\u00f6glichen, seine privaten Fl\u00fcge in den USA zu verfolgen. Da es diesen Service bisher nicht am Markt gab, beschloss er mit Freunden, einen solchen Dienst kostenlos anzubieten und gr\u00fcndete FlightAware. Am 17. M\u00e4rz 2005 wurde FlightAware offiziell gegr\u00fcndet und begann mit der Verarbeitung von Live-Flugdaten. In den ersten 18 Monaten erzielte FlightAware einen Umsatz von \u00fcber einer Million Dollar. FlightAware ist seit 2006 profitabel und w\u00e4chst seit April 2014 um 40\u201350 % pro Jahr.<\/p>\n

\"FlightAware-Webseite\"<\/a><\/p>\n

Seit Juni 2016 stellt FlightAware monatlich \u00fcber 250 Millionen Flight-Tracking-Seiten f\u00fcr \u00fcber zw\u00f6lf Millionen Benutzer bereit. FlightAware meldete laut Wikipedia im Januar 2019 \u00fcber 10 Mio. registrierte Benutzer. Das Unternehmen soll seit 2006 profitabel sein und f\u00fcr das Jahr 2009 habe ich einen Umsatz von 4 Millionen US-Dollar gefunden.<\/p>\n

Leser informieren mich \u00fcber einen Vorfall<\/h2>\n

Oliver hat mich bereits gestern \u00fcber einen Datenschutzvorfall beim Unternehmen informiert (\"eher eine Nischeninfo\/Randsplitter, jedoch der Abfluss was da passiert ist, nicht so wirklich zu untersch\u00e4tzen imho.\"). Weil er dort als Benutzer registriert ist, hat er eine entsprechende Benachrichtigung per E-Mail erhalten. Die Benachrichtigung liegt mir vor, l\u00e4sst sich hier<\/a> aber auch als PDF abrufen.<\/p>\n

Auch Nicolas hatte sich die Nacht in einer pers\u00f6nlichen Nachricht auf Facebook gemeldet und mich auf den\u00a0 Vorfall hingewiesen – danke an beide Leser f\u00fcr den Hinweis. Und zum 18. August 2024 liegt mir auch eine Mail von Henning zum Vorfall vor, der schrieb \"FlightAware ist ein Dienst zur Echtzeit-Flugverfolgung, der Informationen wie Flugstatus, Routen und Versp\u00e4tungen bereitstellt. Die Plattform wird von Millionen Nutzern weltweit genutzt, darunter Fluggesellschaften, Flugh\u00e4fen und Reisende, mit \u00fcber 12 Millionen monatlichen Nutzern und mehr als 10.000 Unternehmen, die die Dienste in ihre Systeme integriert haben.\"<\/p>\n

Datenschutzvorfall: Was ist passiert?<\/h2>\n

Am 25. Juli 2024 hat der Betreiber von FlightAware einen Konfigurationsfehler in seinen Systemen zur Abfrage der Fluginformationen entdeckt. Durch diesen Fehler wurden versehentlich die pers\u00f6nlichen Daten in FlightAware-Konten der registrierten Benutzer offengelegt hat. Das Unternehmen schreibt, dass m\u00f6glicherweise Daten wie Benutzer-ID, Passwort und E-Mail-Adresse f\u00fcr Dritte abrufbar waren. Der Konfigurationsfehler wurde zwar nach seiner Entdeckung sofort behoben, aber ein Datenabfluss kann nicht ausgeschlossen werden.<\/p>\n

Je nach den von von den Kunden bereitgestellten Informationen kann beim Datenleck auch der vollst\u00e4ndige Name, die Rechnungsadresse, die Lieferadresse, die IP-Adresse, Kontendaten in sozialen Medien, Telefonnummern, Geburtsjahr, die letzten vier Ziffern der Kreditkartennummer, Informationen \u00fcber das eigene Flugzeug, die Branche, den Titel des Benutzer, deren Pilotenstatus (ja\/nein) sowie die Kontoaktivit\u00e4t (z. B. angesehene Fl\u00fcge und gepostete Kommentare) offen gelegt worden sein. Kurzum: Es war alles potentiell f\u00fcr Dritte offen zugreifbar, was Benutzer auf der Platform an Daten angegeben hatten.<\/p>\n

In einer Mail vom 18. August 2024 hat FlightAware dann alle betroffenen Nutzer \u00fcber diesen Datenschutzvorfall per Mail informiert. Der Anbieter empfiehlt den Nutzern, das Passwort bei der n\u00e4chsten Anmeldung zur Vorsicht zur\u00fcckzusetzen (auf dieser Seite<\/a> m\u00f6glich). Der Anbieter bedauert den Vorfall, Benutzer d\u00fcrften nun aber damit konfrontiert sein, dass ihre Daten in die H\u00e4nde Dritter gelangt sind. Wer dort ein Konto besitzt, sollte die Zugangsdaten \u00e4ndern und sich darauf einstellen, dass seine Daten ggf. f\u00fcr Phishing und andere kriminelle Aktionen missbraucht werden. Sollten die Zugangsdaten bei anderen Konten ebenfalls verwendet werden, sind diese auch dort zu \u00e4ndern.<\/p>\n

Datenleck seit 2021!<\/h2>\n

In der mir von Lesern vorliegenden Benachrichtigung h\u00f6rt sich das Ganze recht harmlos an. Man hat am 25. Juli 2024 den Konfigurationsfehler bemerkt, diese sofort beseitigt und die Nutzer (nicht ganz einen Monat nach der Entdeckung) bereits am 18. August 2024 benachrichtigt. Bei der Recherche zum Beitrag bin ich auf die Information<\/a> der Kollegen von Bleeping Computer gesto\u00dfen, dass die Fehlkonfigurierung bereits seit dem\u00a0 1. Januar 2021 vorlag. Quelle ist diese Meldung<\/a> des Datenschutzvorfalls an die Beh\u00f6rden.<\/p>\n

Bleeping Computer schreibt, dass allen Nutzern, die eine Benachrichtigung \u00fcber einen Datenschutzvorfall erhalten haben, ein kostenloses 24-monatiges Identit\u00e4tsschutzpaket von Equifax angeboten wird. Der Anbieter empfiehlt, verd\u00e4chtige Aktivit\u00e4ten den \u00f6rtlichen Strafverfolgungsbeh\u00f6rden zu melden. Genau diese Information kann ich aus den mir vorliegenden Benachrichtigungen aber nicht herauslesen. M\u00f6glicherweise bezieht sich dieses Angebot nur auf US-B\u00fcrger.<\/p>\n

Unklar ist aktuell auch, wie viele Nutzer betroffen sind (ich gehe von 20 Millionen Nutzern aus) und wie gro\u00df der Umfang des potentiellen Datenlecks ist. Es sind ja alle Flugdaten sowie Benutzerinformationen \u00fcber 3 Jahre und fast 8 Monate potentiell einsehbar gewesen. Auch habe ich noch keinen Hinweis gefunden, ob die Daten durch unbefugte Dritte abgerufen wurden und bereits ein Missbrauch vorliegt. Ist jemand aus der Leserschaft betroffen?<\/p>\n","protected":false},"excerpt":{"rendered":"

Beim US-Unternehmen FlightAware\u00a0 hat es einen veritablen Datenschutzvorfall gegeben. Ein Konfigurationsfehler bewirkte, dass Daten von Millionen Benutzern \u00f6ffentlich per Internet abrufbar waren. Neben der Benutzer-ID sind so auch E-Mail-Adressen sowie das Passwort abrufbar gewesen. Ist zwar ein \"Nischenthema\", aber inzwischen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-300020","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300020","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=300020"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300020\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=300020"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=300020"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=300020"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}