Comment une simple erreur de configuration peut-elle mettre en péril la sécurité des données de millions de personnes ? C’est la question à laquelle FlightAware, un des plus grands agrégateurs de données de vol, doit répondre après avoir accidentellement exposé des informations personnelles sensibles de ses utilisateurs.
Un communiqué sur le site de l’entreprise révèle qu’une erreur non spécifiée, identifiée le 25 juillet, a permis l’accès à des noms, adresses électroniques et autres données, selon les informations fournies par les utilisateurs. Mais qu’est-ce qui a pu précisément causer cette fuite massive ?
Les données exposées comprennent des adresses de facturation et de livraison, des adresses IP, des comptes de médias sociaux, numéros de téléphone, années de naissance, les quatre derniers chiffres des numéros de carte de crédit, des informations sur les aéronefs possédés, l’industrie, les titres, le statut de pilote, et l’activité de compte comme les vols consultés et les commentaires postés. Mais jusqu’où cette « erreur de configuration » a-t-elle réellement pénétré ?
FlightAware demande à tous les utilisateurs affectés de réinitialiser leurs mots de passe.
Une notification distincte du procureur général de Californie révèle que des mots de passe et numéros de sécurité sociale ont aussi été compromis. L’ampleur des dommages semble donc bien plus vaste. Pourquoi deux notifications séparées et pourquoi maintenant, trois ans après le début de la faille en janvier 2021 ?
FlightAware indique que l’incident semble être le résultat d’une erreur interne plutôt que d’une cyberattaque malveillante. Cependant, cela laisse la porte ouverte à un ensemble de questions : la société a-t-elle pris les mesures nécessaires pour surveiller les accès potentiels et empêcher la fuite de ces données massives ?
À ce jour, il n’y a aucune indication claire que les données aient été consultées ou exfiltrées. La société a-t-elle conservé des journaux d’accès permettant de vérifier ces informations ? Et combien d’utilisateurs, parmi les plus de 10 millions mensuels, ont été affectés par cette faille ? FlightAware, par l’intermédiaire de sa porte-parole Kathleen Bangs, reste muette sur ces points cruciaux.
Source : Techcrunch
