フライト追跡サービス「FlightAware」が設定エラーで複数年にわたりユーザーの個人情報を漏えいしていたことが明らかに

リアルタイムでフライトを追跡したり、あらゆるフライトを検索して追跡したりすることができる「FlightAware」が、複数年にわたってユーザーの個人情報を漏えいしていたことが発覚しました。これを受け、FlightAwareは一部のユーザーに対してアカウントのパスワードを変更するよう求めています。

FlightAware
(PDFファイル)https://static.flightaware.com/pdf/fa_data_notification.pdf

FlightAware configuration error leaked user data for years
https://www.bleepingcomputer.com/news/security/flightaware-configuration-error-leaked-user-data-for-years/

FlightAware warns that some customers' info has been 'exposed,' including Social Security numbers | TechCrunch
https://techcrunch.com/2024/08/19/flightaware-warns-that-some-customers-info-has-been-exposed-including-social-security-numbers/

FlightAwareはアメリカ・テキサス州ヒューストンに拠点を置き、200カ国・3万2000点の放送型自動従属監視(ADS–B)を使って、世界最大のフライト追跡サービスを提供している企業です。FlightAwareは2005年に設立され、2021年8月に航空宇宙テクノロジー開発企業のCollins Aerospaceに買収されました。なお、FlightAwareの月間アクティブユーザー数は1000万人を超えるそうです。

そんなFlightAwareが、2021年1月1日に発生した設定エラーにより、ユーザーID・パスワード・メールアドレスなどのユーザーの個人情報が漏えいしたことを、カリフォルニア州司法長官事務所の公式サイトで報告しました。設定エラーの存在が発覚したのは2024年7月25日であるため、3年以上にわたって個人情報が誰でもアクセスできる状態となっていたそうですが、実際にデータが漏えいしたか否かは記事作成時点では不明です。また、問題の「設定エラー」の詳細も記事作成時点では明かされていません。

なお、ユーザーがFlightAwareのアカウントに追加していたかどうかに応じて、以下のデータも漏えいした可能性があります。

・氏名
・請求先住所
・配送先住所
・IPアドレス
・ソーシャルメディアアカウント
・電話番号
・生年
・クレジットカード番号の最後の4桁
・所有航空機に関する情報
・パイロットステータス
・業種と役職
・アカウントのアクティビティ(閲覧したフライトや投稿したコメントを含む)
・社会保障番号

FlightAwareは問題の設定エラーは既に修正済みであるとしており、データ漏えいした可能性のあるすべてのアカウント所有者に対して、次回ログイン時にパスワードのリセットを促すと記しました。FlightAwareはパスワードリセット専用のページも用意しており、ユーザーが素早くパスワード変更を行えるようにしています。なお、データ漏えいに関する通知を受け取ったユーザーには、Equifax経由で24カ月間のID保護パッケージが無料で提供されるそうです。

Reset Password - FlightAware
https://www.flightaware.com/account/reset

他のオンラインプラットフォームで漏えいした認証情報と同じものを利用しているユーザーは、アカウント乗っ取りのリスクを軽減するためにできる限り早くパスワードをリセットすることが推奨されます。

なお、テクノロジーメディアのBleepingComputerはFlightAwareにデータ漏えいの影響を受けた可能性のあるユーザーの数について問い合わせていますが、記事作成時点では返答は得られていません。