FlightAware 고객 데이터 유출: 이름, 이메일 주소 및 비밀번호 노출 가능
(loyaltylobby.com)- FlightAware는 2024년 7월 25일 발견한 설정 오류로 계정 개인정보가 노출됐을 가능성이 있어, 잠재적 영향 사용자의 비밀번호 재설정을 요구함
- 노출 가능 정보에는 사용자 ID, 비밀번호, 이메일 주소가 포함되며, 사용자가 입력한 정보에 따라 이름·주소·IP 주소·전화번호·생년·신용카드 마지막 4자리까지 포함될 수 있음
- 회사는 문제 발견 뒤 설정 오류를 수정했고, 사용자는 다음 로그인 때 비밀번호 재설정 안내를 받거나 계정 재설정 링크를 사용할 수 있음
- 통지에는 알림 지연이 법 집행기관 조사 때문은 아니라고 명시됐으며, 개인정보 문의는 privacy@flightaware.com 또는 Houston 주소의 Privacy 담당으로 받음
- 2024년 8월 16일 기준 통지는 발견일로부터 3주 이상 지난 뒤 이뤄졌고, 원문은 EU의 72시간 통지 요구 위반으로 평가함
설정 오류로 인한 계정 정보 노출 가능성
- FlightAware는 사용자에게 보낸 이메일에서 계정 개인정보가 잠재적으로 노출된 데이터 보안 사고를 알림
- 사고는 2024년 7월 25일 발견된 설정 오류와 관련됨
- 잠재적으로 영향을 받은 모든 사용자는 비밀번호를 재설정해야 함
- 사용자는 다음 FlightAware 로그인 시 비밀번호 재설정 프롬프트를 받거나, 계정 재설정 링크를 사용할 수 있음
노출될 수 있는 정보
- 기본적으로 노출 가능성이 언급된 정보는 다음과 같음
- 사용자 ID
- 비밀번호
- 이메일 주소
- 사용자가 계정에 제공한 정보에 따라 추가 항목도 포함될 수 있음
- 전체 이름
- 청구 주소
- 배송 주소
- IP 주소
- 소셜미디어 계정
- 전화번호
- 출생 연도
- 신용카드 번호 마지막 4자리
- 소유 항공기 관련 정보
- 업계
- 직함
- 조종사 여부
- 계정 활동, 예를 들어 조회한 항공편과 게시한 댓글
FlightAware의 대응과 문의 채널
- FlightAware는 노출 가능성을 발견한 뒤 설정 오류를 즉시 수정함
- 잠재적 영향 사용자는 모두 비밀번호 재설정을 완료해야 함
- 통지에는 이번 알림이 법 집행기관 조사 때문에 지연된 것이 아니라고 명시됨
- 개인정보 관련 추가 지원 연락처는 다음과 같음
- 이메일: privacy@flightaware.com
- 우편: FlightAware – Attn: Privacy, 11 Greenway Plaza, Suite 2900, Houston, TX 77046
통지 지연과 규정 논란
- 사고 발견일은 2024년 7월 25일임
- 사용자 통지는 2024년 8월 16일 게시 시점 기준 전날 발송된 것으로 소개됨
- 원문은 FlightAware가 잠재적 데이터 침해를 72시간 내 사용자에게 알려야 하는 EU 소비자 보호 규정을 위반했다고 평가함
- 발견 이후 통지까지 3주 이상 걸린 점이 핵심 문제로 남아 있음
사용자가 확인할 사항
- FlightAware 계정 사용자는 다음 로그인 시 비밀번호 재설정을 진행해야 함
- 노출 가능 정보에 비밀번호와 이메일 주소가 포함되므로, 같은 비밀번호를 다른 서비스에서 쓰는 사용자는 별도 점검이 필요함
- FlightAware의 공식 개인정보 문의 채널은 privacy@flightaware.com임
댓글과 토론
Hacker News 의견들
-
제목이 불완전하거나 거의 오해를 부르는 수준임. 유출된 정보가 이름, 이메일, 비밀번호보다 훨씬 많음:
제공한 정보에 따라 전체 이름, 청구지 주소, 배송지 주소, IP 주소, 소셜 미디어 계정, 전화번호, 출생연도, 신용카드 마지막 4자리, 보유 항공기 정보, 업종, 직함, 조종사 여부, 계정 활동(조회한 항공편과 작성한 댓글 등)까지 포함됐을 수 있음
프로필에 연결된 거의 모든 정보가 영향을 받은 것처럼 들림. 다행히 기억나는 한 계정을 별도로 쓰지는 않았고, 일회용 이메일과 비밀번호를 사용했음- 데이터베이스 전체 덤프처럼 들림
- 제목을 임의로 해석하고 싶지는 않았지만, dang이 제목을 바꿔도 괜찮음
-
FlightAware의 iOS 앱도 iOS 15 지원을 막 중단했는데, 기존 앱이 계속 동작하게 두는 대신 iOS 15 사용자에게 새 폰을 사라는 식의 전체 화면 모달을 띄워 지난주까지 잘 되던 앱 사용을 막아버림
내 폰의 다른 앱들은 오래된 기기에서도 우아하게 계속 동작하는데 이 앱만 이럼. 이건 완전히 말이 안 되고, 정상적인 앱이 하위 호환성을 다루는 방식이 아님. 그쪽 개발자들은 뭘 하는지 모르는 광대처럼 보임- 개발자가 무엇을 지원할지 결정할 권한이 있었다는 발상이 재밌음. 이건 명백히 관리자 결정이고, 아니면 CEO 결정일 가능성이 큼
- 공정하게 말하면, 지금 쓰는 건 8년 된 기기이고 Apple 지원도 2년 전에 끊겼음. 이미 일부 웹사이트는 안 될 가능성이 있고, “웹 서비스” 앱 래퍼도 비슷한 제한이 있을 수밖에 없음
그 기기를 지원하려면 아마 기존 웹앱 버전을 계속 유지해야 할 텐데, 그게 공짜로 되는 일은 아님. 무료 앱에서 기기를 7년 지원한 것도 이미 긴 편이고, iOS 18이 코앞인 상황에서는 지원 중단이 갈수록 더 타당해짐
-
이메일이 진짜인 건 확인 가능함. 나도 받았음. 이들이 비밀번호 유출을 말했다는 점이 중요함
해시됐는지, 됐다면 솔트가 있었는지는 언급하지 않았고 블로그 글도 찾을 수 없었음. 알림 이메일이 3주 넘게 걸렸다는 점은 인상적이지 않음- 예전에 거기서 일했던 입장에서, 비밀번호는 데이터베이스에 확실히 솔트 처리 후 해시되어 저장됐음
이메일 내용은 대체로 사용자 계정 테이블에 있던 것처럼 들리지만, 신용카드 마지막 4자리가 거기에 있었다고는 생각하지 않았음. 그리고 “솔트/해시된 비밀번호”가 아니라 “비밀번호”라고 쓴 걸 보면 더 많은 게 있었던 것 같음
이게 Apache나 Apache Rivet 문제라서 서버로 보낸 모든 내용을 가로챘을 가능성도 떠오름. 그러면 해당 기간에 로그인했다면 실제 비밀번호, 뭔가를 구매했다면 신용카드 정보까지 포함될 수 있음
Rivet은 위험한 함정이 많았음. 기억하기로 변수들이 Apache 자식 프로세스 생명주기 동안 남아 있어서 직접 지우지 않으면 다음 요청에서 접근 가능했음. 누군가 거대한 “우리가 설정했을 법한 모든 변수를 삭제”하는 프로시저를 지우거나 실행하지 않았고, 또 누군가info var출력을 얻을 수 있었다면 이전 요청, 또는 덮어쓰이지 않은 더 오래된 요청의 모든 설정값을 볼 수 있었을 것임. 사용자 정보도 큰 전역user배열에 저장돼 있었음 - 활성 계정(ADS-B 데이터 피드)이 있는데도 이 이메일을 받지 못했다는 점이 흥미로움
- 예전에 거기서 일했던 입장에서, 비밀번호는 데이터베이스에 확실히 솔트 처리 후 해시되어 저장됐음
-
8개월 전 FlightAware가 전체 기술 스택을 TCL에서 이전한다는 블로그 글을 썼음. 글 제목은 “Managing a Technical Transformation (Part 1)”인데, Part 2는 찾지 못했음
https://flightaware.engineering/managing-a-technical-transfo... -
추가 링크 몇 개:
https://www.404media.co/flightaware-exposed-pilots-and-users...
이메일에 답장했을 때 오는 자동 응답:
https://x.com/fergindc/status/1824648418544816222?t=vqjrPsqb...
https://x.com/josephfcox/status/1824192314991882545?t=IIZE0V... -
기사 어디에도 비밀번호가 “해시됨”이라고 되어 있지 않으니, 평문 비밀번호가 유출됐다고 추정하게 됨
이건 다른 모든 데이터 유출을 합친 것보다 100배 나쁨. 사용자에게 치명적일 수 있고, 애초에 평문으로 저장하지 않으면 쉽게 예방 가능하기 때문임
수정: 누군가 저장된 비밀번호는 해시됐다고 말함 [1]. 그 말이 맞기를 바람
[1] https://news.ycombinator.com/item?id=41278855 -
이제 경영진이 책임질 때임. 연봉 협상 때는 그렇게 자주 책임을 내세우니까
-
웹사이트에는 아직 아무것도 없음. 공식 Discourse에만 올라와 있음:
https://discussions.flightaware.com/t/closing-account-due-th... -
FlightAware 무료 계정이 있고, 가끔 Apple을 통해 광고 제거 앱 내 결제를 산 적이 있음. 내 이메일 주소 외에 이들이 실제로 가진 개인정보나 청구 정보가 무엇인지 궁금함