O site de rastreamento de voos FlightAware culpou um "erro de configuração" pela exposição de uma série de informações pessoais de seus clientes, incluindo alguns de seus números de Previdência Social. A empresa, que afirma ser uma das maiores agregadoras de dados de voo, disse em um aviso em seu site que identificou o erro não especificado em 25 de julho, que expôs nomes, endereços de e-mail e muito mais, dependendo das informações que os usuários forneceram à empresa.
O que foi exposto?
De acordo com o aviso da FlightAware, os dados expostos incluem:
- Endereço de cobrança
- Endereço de entrega
- Endereço IP
- Contas de mídia social
- Números de telefone
- Ano de nascimento
- Últimos quatro dígitos do número do cartão de crédito
- Informações sobre aeronaves possuídas
- Setor
- Título
- Status do piloto (sim/não)
- Atividade da conta (como voos visualizados e comentários postados)
Em um aviso separado enviado ao gabinete do procurador-geral da Califórnia, a FlightAware disse que sua investigação descobriu que senhas e números de Previdência Social também foram expostos. Como resultado, a empresa está exigindo que todos os usuários afetados redefinam suas senhas de conta.
Quando ocorreu a violação?
O aviso protocolado no estado da Califórnia diz que a violação ocorreu em janeiro de 2021, há mais de três anos. No entanto, a FlightAware só identificou o erro em 25 de julho de 2023.
Erro de configuração ou ataque cibernético?
A descrição da empresa sobre um erro de configuração sugere um erro por parte da empresa, e não um ataque cibernético malicioso. No entanto, a FlightAware não deixa claro se alguém acessou ou exfiltrou os dados, ou se a empresa tem meios técnicos, como registros, para determinar se alguém baixou os dados do cliente.
Impacto e resposta da empresa
A FlightAware afirma em seu site que tem mais de 10 milhões de usuários mensais, mas a empresa não informou quantos clientes foram afetados pela violação. A porta-voz da empresa, Kathleen Bangs, não respondeu aos pedidos de comentário.
Apesar da exposição de informações pessoais sensíveis, como números de Previdência Social, a FlightAware está apenas exigindo que os usuários afetados redefinam suas senhas de conta. Não está claro se a empresa oferecerá outros serviços de proteção de identidade ou compensação aos clientes cujos dados foram expostos.
Conclusão
A violação de dados da FlightAware é um lembrete preocupante de que mesmo as empresas líderes do setor podem enfrentar falhas de segurança que expõem informações pessoais confidenciais de seus clientes. À medida que a dependência de dados e tecnologia continua a crescer, é crucial que as empresas invistam em práticas sólidas de segurança da informação e transparência com seus clientes quando ocorrem incidentes de violação de dados.