Flugtracking-Dienst Flightaware warnt Nutzer vor möglichem Datendiebstahl
Durch einen "Konfigurationsfehler" wurde der Datenschutz bei Flightaware ausgehebelt. Das ermöglichte den Zugriff auf persönliche Daten registrierter Nutzer.
(Bild: FOTOGRIN/Shutterstock.com)
Bei Flightaware gab es ein Datenleck, aber wohl ohne Cyberangriff. Der Flugtracking-Dienst macht einen Konfigurationsfehler dafür verantwortlich, dass eine Vielzahl persönlicher und teilweise sensibler Daten von registrierten Nutzern einsehbar waren. Dazu gehören etwa Sozialversicherungsnummern und die letzten Ziffern der Kreditkartennummer. Flightaware empfiehlt den Nutzern, die Passwörter zu ändern.
Das Unternehmen für Luftfahrt-Software und -Datendienste ist mit nach eigenen Angaben über 10 Millionen monatlichen Nutzern einer der größten Flugtracking-Dienste. Auf der Startseite von Flightaware sind bislang keine Informationen zu dem Datenleck zu sehen, auch nicht im eigenen Blog, bei den Unternehmensnachrichten oder beim eigenen Twitter-Konto.
Vielzahl persönlicher Daten offen
Allerdings gibt es auf der Website ein Schreiben des Flightaware-Chefs Matt Davis an seine Kunden, das den Vorfall beschreibt und den Techcrunch gefunden hat. Davis drückt in dem Brief sein Bedauern über diesen Datenschutzvorfall aus. Am 25. Juli 2024 wurde demnach ein "Konfigurationsfehler" entdeckt, der versehentlich persönliche Informationen von Flightaware-Nutzerdaten offengelegt habe.
Dazu gehören die Nutzer-ID, das Kennwort und die E-Mail-Adresse der Kunden. Abhängig von den übermittelten Daten könnten auch der volle Name, die Rechnungsadresse, eine Versandadresse, die IP-Adresse, Konten bei sozialen Netzwerken, Telefonnummern, Geburtsjahr, die letzten vier Zahlen der Kreditkartennummer, Details zu eigenen Flugzeugen, Berufsbezeichnung und Branche, Pilotenstatus und Nutzeraktivitäten bei Flightaware abrufbar gewesen sein. Dieser Fehler sei unmittelbar behoben worden, aber trotzdem sollten Kunden zur Vorsicht ihr Passwort ändern.
Keine Details zu Umfang und möglichen Zugriffen
Informationen über einen möglichen Datenabfluss und die Zahl betroffener Kunden nennt Flightaware in dem Schreiben nicht. Das Unternehmen hat allerdings den Generalstaatsanwalt von Kalifornien über das Datenleck informiert und dort heißt es, dass die Daten seit Anfang Januar 2021 offen lagen, also mehr als dreieinhalb Jahre lang. In dem dort vorgelegten Musterbrief an die Kunden schreibt Flightaware zudem, dass Sozialversicherungsnummern der Nutzer abrufbar waren.
Flightaware hat bislang nicht auf entsprechende Anfragen reagiert, sodass unklar ist, ob jemand die Kundendaten aufgrund des Konfigurationsfehlers abgegriffen hat. Offen ist auch, ob das Unternehmen eventuelle Zugriffe auf persönliche Daten anderer anhand etwa von Server-Logs nachvollziehen kann und ob alle oder nur ein Teil der bei Flightaware registrierten Nutzer betroffen waren.
(fds)