FlightAware : Une Faille de Configuration Expose les Données Clients
FlightAware, l'un des plus grands agrégateurs de données de vols au monde, a récemment révélé qu'une erreur de configuration a exposé un large éventail d'informations personnelles de ses clients, y compris des numéros de Sécurité Sociale dans certains cas. Cette faille de sécurité majeure soulève de sérieuses inquiétudes quant à la protection des données des utilisateurs par l'entreprise.
Une erreur aux lourdes conséquences
Selon un avis publié sur son site web, FlightAware a identifié l'erreur de configuration le 25 juillet dernier. Celle-ci a eu pour effet d'exposer les noms, adresses e-mail et bien plus encore, en fonction des informations fournies par les utilisateurs lors de leur inscription au service :
Les données exposées comprennent l'adresse de facturation, l'adresse de livraison, l'adresse IP, les comptes de médias sociaux, les numéros de téléphone, l'année de naissance, les quatre derniers chiffres du numéro de carte de crédit, les informations sur les aéronefs possédés, le secteur d'activité, le titre, le statut de pilote (oui/non) et l'activité du compte (telle que les vols consultés et les commentaires postés).
– FlightAware, avis de sécurité
Mais ce n'est pas tout. Dans un avis distinct déposé auprès du bureau du procureur général de Californie, FlightAware a indiqué que son enquête a révélé que les mots de passe et les numéros de Sécurité Sociale ont également été exposés dans certains cas.
Une faille datant de janvier 2021
Ce qui est particulièrement préoccupant, c'est que selon l'avis déposé auprès de l'État de Californie, la faille de sécurité remonte à janvier 2021, soit il y a plus de trois ans. Autrement dit, les données personnelles des clients de FlightAware ont potentiellement été accessibles à des tiers non autorisés pendant une très longue période.
Des mesures pour sécuriser les comptes
Suite à la découverte de cette erreur de configuration, FlightAware a pris des mesures pour sécuriser les comptes de ses clients. La société exige notamment que tous les utilisateurs concernés réinitialisent leur mot de passe. Cependant, l'avis ne précise pas si les mots de passe stockés étaient chiffrés ou hashés, ni dans quelle mesure.
Des questions en suspens
Si FlightAware admet que les données des clients ont été exposées, on ne sait pas pour autant si quelqu'un y a effectivement accédé ou les a exfiltrées. L'entreprise ne précise pas non plus si elle dispose des moyens techniques, comme des journaux, pour déterminer si quelqu'un a téléchargé les données des clients.
Contactée à ce sujet, la porte-parole de FlightAware, Kathleen Bangs, n'a pas répondu aux demandes de commentaires, pas plus qu'elle n'a indiqué le nombre de clients concernés. Le site web de FlightAware revendique plus de 10 millions d'utilisateurs mensuels.
Les risques pour les utilisateurs concernés
Cette fuite de données expose les clients de FlightAware à de multiples risques :
- Usurpation d'identité grâce aux informations personnelles dérobées
- Piratage des comptes en ligne en utilisant les mots de passe volés
- Hameçonnage ciblé (spear phishing) sur la base des données exposées
- Fraude à la carte bancaire avec les 4 derniers chiffres obtenus
Recommandations pour se protéger
Si vous êtes client de FlightAware, voici quelques mesures à prendre dès maintenant :
- Changez immédiatement votre mot de passe FlightAware, ainsi que sur tout autre site où vous utilisiez le même.
- Activez l'authentification à deux facteurs (2FA) partout où c'est possible pour une sécurité renforcée.
- Surveillez attentivement vos relevés bancaires et signalez toute transaction suspecte.
- Méfiez-vous des e-mails et SMS vous incitant à cliquer sur un lien ou à fournir des informations personnelles.
De son côté, FlightAware devra fournir plus de détails sur les causes de cet incident ainsi que sur les mesures prises pour éviter que cela ne se reproduise à l'avenir. La confiance des utilisateurs est essentielle pour une entreprise comme FlightAware, et seule une transparence totale permettra de la restaurer.
Cet incident rappelle une fois de plus l'importance cruciale de la cybersécurité et de la protection des données personnelles à l'ère du numérique. Les entreprises doivent redoubler de vigilance et investir dans des mesures de sécurité robustes pour préserver la confidentialité des informations qui leur sont confiées. Les utilisateurs, quant à eux, doivent rester attentifs et proactifs pour protéger leur identité et leurs données en ligne.