FlightAware meldt datalek waarbij onder meer wachtwoorden mogelijk zijn gelekt

FlightAware meldt een datalek waarbij onder meer de namen, e-mailadressen, wachtwoorden, telefoonnummers en laatste vier cijfers van creditcardnummers van gebruikers zijn blootgesteld. FlightAware is de populairste dienst voor het volgen van vluchten van commerciële vliegtuigen.

In een e-mail aan klanten laat FlightAware weten dat vrijwel alle persoonlijke gegevens van 'een onbepaald aantal' gebruikers mogelijk enige tijd zijn blootgesteld door een 'configuratiefout'. Volgens Strauss Borrelli, een advocatenkantoor dat namens FlightAware onderzoek doet naar het datalek, konden onbevoegde partijen tussen 1 januari 2021 en 25 juli 2024 mogelijk toegang krijgen tot gevoelige, persoonlijke informatie in de systemen van de dienst.

Daarbij gaat het in ieder geval om de gebruikersnaam, het wachtwoord en e-mailadres van gebruikers. Afhankelijk van de aanvullende informatie die ze aan hun account hebben toegevoegd, zouden ook de volledige naam, socialemedia-accounts, laatste vier cijfers van het creditcardnummer, het woon- en IP-adres, telefoonnummer, geboortejaar en de accountactiviteit zijn uitgelekt. Onder de accountactiviteit vallen onder meer geplaatste reacties en bekeken vluchten.

Volgens Flightaware is de configuratiefout onmiddellijk opgelost nadat deze op 25 juli werd ontdekt. Er wordt nog onderzoek gedaan of de blootgestelde gegevens zijn uitgebuit door kwaadwillenden. Het bedrijf zegt niet of de wachtwoorden waren gehasht en gesalt. Wel laat het weten dat alle gebruikers 'uit voorzorg' hun wachtwoord opnieuw moeten instellen.

Door Kevin Krikhaar

Redacteur

Feedback • 18-08-2024 12:38
52 • submitter: Faceless

18-08-2024 • 12:38

52

Submitter: Faceless

Lees meer

Gegevens van 3,2 miljoen Belgische WhatsApp-gebruikers zijn te koop op darkweb
Gegevens van 3,2 miljoen Belgische WhatsApp-gebruikers zijn te koop op darkweb Nieuws van 22 augustus 2024
Bel- en sms-logs van 'bijna alle' AT&T-klanten zijn gestolen in groot datalek
Bel- en sms-logs van 'bijna alle' AT&T-klanten zijn gestolen in groot datalek Nieuws van 12 juli 2024
Schoolboekenleverancier Iddink meldt opnieuw datalek
Schoolboekenleverancier Iddink meldt opnieuw datalek Nieuws van 4 juli 2024
D&D-tool Roll20 meldt datalek
D&D-tool Roll20 meldt datalek Nieuws van 3 juli 2024
Mogelijk gegevens miljoen patiënten Amerikaanse ziekenhuisketen Geisinger gelekt
Mogelijk gegevens miljoen patiënten Amerikaanse ziekenhuisketen Geisinger gelekt Nieuws van 27 juni 2024
Meer producten en artikelen
Beveiliging en antivirus Privacy Datalek Vliegtuig

Reacties (52)

-Moderatie-faq
52
51
36
4
0
11
Wijzig sortering
Hmmbob 18 augustus 2024 14:44
Euh, de bron heeft het helemaal niet over het BSN (of in de VS: SSN - Social Security Number).
What Happened?

On July 25, 2024, we discovered a configuration error that may have inadvertently exposed your personal information in your FlightAware account, including user ID, password, and email address. Depending on the information you provided, the information may also have included your full name, billing address, shipping address, IP address, social media accounts, telephone numbers, year of birth, last four digits of your credit card number, information about aircraft owned, industry, title, pilot status (yes/no), and your account activity (such as flights viewed and comments posted).
Ook in de VS is men heel terughoudend met het vragen naar en afgeven van het SSN, omdat dat, net als hier, identiteitsfraude oplevert.

Alle gegevens die eventueel uitgelekt zijn, heb je zelf ooit ingevuld in je FlightAware account, of bij het bestellen van iets in hun webshop. Een screenshot van mijn accountpagina (met al die velden die genoemd worden) in het fotoalbum:

https://tweakers.net/i/bi...jTMdQ2Xx.png?f=user_large

[Reactie gewijzigd door Hmmbob op 18 augustus 2024 14:58]

evers97 @Hmmbob18 augustus 2024 18:00
In Nederland lijkt een BSN superbelangrijk, maar in de praktijk kun je er eigenlijk weinig mee. Sure, zonder ID doe je niks met alleen een BSN. Geen leningen, geen nieuwe rekeningen, en als je ID als gestolen opgegeven is, kun je sowieso niks beginnen omdat de nfc chip niet meer geldig is. Plus, bijna overal moet je naast je ID ook nog eens door een gezichtsscan als we het over financiele instanties hebben, en bij grote bedragen ga je vaak gewoon fysiek naar de bank.

Echt, qua oplichting heb je er niks aan. Het is meer een tool voor de overheid om iedereen met dezelfde naam uit elkaar te houden en om makkelijker te communiceren met andere instanties.
Finnrt @evers9719 augustus 2024 11:40
en als je ID als gestolen opgegeven is, kun je sowieso niks beginnen omdat de nfc chip niet meer geldig is.
Ik heb laatst mijn ID als gestolen opgegeven, daarna had ik hem na een aantal weken weer gevonden. :P Als test had ik bij ING opnieuw ingelogd met de NFC chip. Deze werkte zonder problemen, ook al stond het legitimatiebewijs opgegeven als gestolen.
evers97 @Finnrt19 augustus 2024 11:59
Waar heb je deze als gestolen opgegeven? Bij de politie of de gemeente? Dit is wel echt iets voor de overheid |:(
Finnrt @evers9719 augustus 2024 12:05
Yep, ik stond er ook van te kijken! Enige manier was om dit via de Gemeente te doen. Politie was dan niet nodig werd er gezegd.
roawser @Finnrt19 augustus 2024 15:35
Verloren of gestolen is wel een belangrijk verschil hier. In geval van het eerste is het 'tja, pech, nieuwe aanvragen' en moet je naar de gemeente. Maar als het paspoort gestolen is, is er sprake van misdaad en wil de politie dat zeker wel weten. Overigens moet je daarna óók nog naar de gemeente.
Finnrt @roawser20 augustus 2024 19:06
Ja, ik heb hem inderdaad opgegeven als verloren. Hoe dan ook; je zou zeggen dat het beide niet meer zou moeten werken, aangezien het legitimatiebewijs simpelweg niet meer actief is.
theboss100 @evers9719 augustus 2024 11:14
Het gaat er in die zin niet om of de oplichter in kwestie er bij de instantie iets mee kan maar meer om een slachtoffer te kunnen overtuigen een bepaalde handeling uit te voeren. Denk hierbij bijvoorbeeld aan het overhalen een link te openen zonder deze uitbundig te controleren, want ja alle andere gegevens in de mail kloppen dus het zal wel van bedrijf/instantie X zijn.

Dit is waarom het met name voor minder technisch opgevoede mensen zo gevaarlijk is dat dit soort gegevens lekken. De mate van detail en overtuiging die ze in phishing mail kunnen beschrijven maakt het voor zo'n persoon lastig om (snel) te bepalen of het nep is of niet. Stel je IBAN lekt naast je BSN en andere persoonsgegevens uit, dan weten ze dus welke bank je hebt, hoe je heet, wat je persoonlijke identificatie nummer is en waar je woont. Hiermee zouden ze je dus mails kunnen sturen maar ook bij wijze van spreke een brief kunnen sturen naar je adres van bijvoorbeeld de bank.
mijsk1974 @evers9719 augustus 2024 12:48
Jij gaat er vanuit dat iedereen die om jouw gegevens vraagt deze onafhankelijk en in een betrouwbare bron kan en zal valideren. Vaak wordt een (deel) van die gegevens gevraagd zodat de tegenpartij redelijkerwijs mag aannemen dat jij degene bent die ze gaan factureren en of een dienst aan verlenen.
Achteraf kan je dan wel reclameren maar dan is je reputatie al naar de maan, staan de deurwaarders op je stoep en ben je weken, maanden, zo niet jaren bezig om schade vergoed te krijgen, als dat dal lukt.

Los daarvan kan dit soort data nou net het punt zijn waarmee een digitaal breekijzer vat kan krijgen op meer informatie. Door bijjvoorbeeld spearphising tegen jou of andere instanties.
Tw3k3rs.n3t 18 augustus 2024 13:09
Wat nog een mooie toevoeging voor het item zou zijn, is waar deze site überhaupt voor dient. ;)
Ref: https://www.flightaware.com/commercial/

O.a. wordt deze site gebruikt voor het feeden van ADS-B data (gegevens van vliegtuigen in de lucht) door veel hobbisten. Volgens hun eigen site, hebben ze zo'n 32.000 feeders:
https://www.flightaware.com/adsb/coverage/
Er zijn ook een aantal Tweakers lid: https://www.flightaware.com/flightcrew/11100681/3132
Voor het opvangen en doorsturen van deze data verkoopt Flightaware o.a. kant en klare kits.

Daarnaast hebben ze ook een foto database van vliegtuigen en kun je (net als op bijv. Flightradar) vluchten tracken.
DjoeC @Tw3k3rs.n3t18 augustus 2024 13:56
Eigendom van Collins Aerospace dat weer eigendom is van RTX Corporation - voormalig Ratheon. Daarmee is FA dus onderdeel van 1 van de grote defensieconcerns van deze wereld.

Ook ik ben een feeder en had het bericht al gemeld in het ADSB topic van het forum, ik vraag me wel af of feeding nog steeds de moeite waard is. Wat gebeurt er op de achtergrond met de verzamelde data?
Blokker_1999
@DjoeC18 augustus 2024 16:58
Wat denk je dat ermee gebeurdt? Die wordt verhandelt uiteraard. recente informatie per vlucht kan je gratis opzoeken, maar wil je de geschiedenis induiken mag je betalen, wil je meer geavanceerde mogelijkheden, mag je betalen.
DjoeC @Blokker_199918 augustus 2024 18:22
Het gaat mij niet eens om het verhandelen, maar een defensiebedrijf dat veel geld over heeft voor zo'n site. Daarbij hebben ze naast de vrijwillige feeders ook de beschikking over de (versleutelde) satellietfeed met ADSB data.

Vgl ADSBexchange dat voor 25M USD naar een investeringsmaatschappij ging, ofwel meer dan 1.000 USD per feeder..... En zo zijn er nog .tig aggregators die je kunt voeden en die handel drijven of onderzoek plegen.
CivLord
@DjoeC19 augustus 2024 09:35
Dat defensiebedrijf zal misschien de ADS-B-kits leveren die de feeders gebruiken. Vele kleintjes maken één grote.
Dennisb1 18 augustus 2024 12:41
de volledige naam, socialemedia-accounts, laatste vier cijfers van het creditcardnummer, het burgerservicenummer, woon- en IP-adres, telefoonnummer, geboortejaar en de accountactiviteit
Kan iemand mij uitleggen wat die website met zoveel gegevens zou moeten??
gorgi_19 @Dennisb118 augustus 2024 14:47
Tweakers benoemd Burgerservicenummer, maar dat zie ik in de originele bron niet terug:
On July 25, 2024, we discovered a configuration error that may have inadvertently exposed your personal information in your FlightAware account, including user ID, password, and email address. Depending on the information you provided, the information may also have included your full name, billing address, shipping address, IP address, social media accounts, telephone numbers, year of birth, last four digits of your credit card number, information about aircraft owned, industry, title, pilot status (yes/no), and your account activity (such as flights viewed and comments posted).
Tenzij Tweakers userId vertaalt naar BSN, maar dat is wat vergezocht.
hcQd @gorgi_1918 augustus 2024 18:32
Wel in het artikel van Strauss Borrelli.
SinergyX @hcQd18 augustus 2024 22:16
Daar inderdaad wordt hij als 2de gemerkt, apart dat dit niet in de eigen mail staat van FlightAware.
Name
Social Security number
FightAware account information (e.g., user ID, password, email address)
Address
IP address
Social media accounts
Telephone number
Year of birth
Last four digits of credit card number
Information regarding aircraft owned, industry, title, piolet status (yes/no)
Account activity (e.g., flights viewed, comments posted)
digibaro @Dennisb118 augustus 2024 12:57
Naast gebruikers die alleen maar kijken (email + pass), hebben ze ook klanten die spullen kopen (NAW + Bankgegevens) of mensen die informatie aanleveren via een thuis geinstalleerde ADSB sensor (IP-adres ?)
xoniq @digibaro18 augustus 2024 13:09
BSN, geboortedatum en social media accounts hebben daar niks bij te zoeken.
B_FORCE @xoniq18 augustus 2024 14:10
Naar mijn weten mag je überhaupt niet zomaar naar een BSN vragen.

Of als we heel wijsneuzerig willen zijn, mag je alles vragen, maar hoeven mensen die niet te geven.
Echter kun je dan waarschijnlijk zonder ook niet eens aanmelden op de website.

Welkom op het het nog steeds wilde westen dat internet heet.

Wat mij betreft zou het verkopen en verzamelen van persoonsgegevens dan ook gewoon illegaal moeten zijn.
Gewoon helemaal stoppen ermee, maar dat wil men dan weer niet omdat men dan wat minder centjes binnenharkt.

Het is zoals gewoonlijk wachten totdat het eens een keer echt mega goed fout gaat voordat men wakker wordt.

Tot die tijd gaan we vaker van zulke berichten lezen en blijven we met de kraan open dweilen.

[Reactie gewijzigd door B_FORCE op 18 augustus 2024 14:11]

Hmmbob @B_FORCE18 augustus 2024 14:47
Naar mijn weten mag je überhaupt niet zomaar naar een BSN vragen.
Dat heeft FlightAware ook niet gedaan - dat heeft de redactie er zelf bij verzonnen. De bron noemt BSN (of SSN, voor Amerikanen) helemaal niet.
CivLord
@B_FORCE19 augustus 2024 09:28
Technisch gezien mogen ze er naar vragen, maar zonder een goede, wettelijk voorgeschreven reden, mogen ze er helemaal niets mee doen. Zelfs niet naar de eigen servers halen en onmiddellijk wissen. Wanneer ze er een invulveld voor geven op de site, mag het BSN je eigen browseromgeving niet verlaten. (Wat het vragen dus volkomen nutteloos maakt.)

Maar dit is een Amerikaanse site en afhankelijk van de diensten die ze aanbieden kan het daar wel relevant zijn. Wanneer ze bv. op krediet vliegtickets aanbieden, kan het zo maar zijn dat het relevant is om het Amerikaanse SSN op te vragen. Of misschien wordt het met het SSN aan een ID-bewijs gekoppeld.
L00_Cyph3r @xoniq18 augustus 2024 14:31
Als ze de Nederlandse BTW-nummers van de wat oudere accounts van zelfstandigen hebben, dan hebben ze in principe ook het BSN. Lang leve een “configuratiefoutje” bij de belastingdienst 8)7

Zo heb ik zelf vast ook nog wel mijn oude BTW nummer bij een aantal partijen ingesteld. Helaas kreeg ik een nieuw BTW nummer en geen nieuwe BSN. Nog even los van het feit dat een BSN op sommige plekken onderdeel van authenticatie is, wat natuurlijk absurd is.
M3m3nt0m0r1 @Dennisb118 augustus 2024 12:54
Niet. Maar ze vragen het en krijgen het van een hoop mensen ook nog vrees ik.
Ircghost 18 augustus 2024 13:43
Ik heb geen mail ontvangen, ben benieuwd of ze dus al weten wie er geraakt is.
TweakChow @Ircghost18 augustus 2024 22:33
Ik heb de mail gehad, maar ben feeder.

Overigens veel van de genoemde gegevens zijn bij mij niet ingevuld. Heb er ook nooit iets gekocht. Mijn gebruikersnaam, wachtwoord en IP-adres zijn op z’n hoogst blootgesteld.
lenwar
@Ircghost19 augustus 2024 07:46
Volgens het artikel stond de informatie beschikbaar, maar er staat niet dat het daadwerkelijk is ‘misbruikt’.

(De deur stond open, maar ze weten nog niet of er iemand naar binnen is geweest) 😊
Joepla 18 augustus 2024 13:24
Feeder hier. Vliegtuigpositie-data, geen frikandellen of emmers kip.
Met een Raspberry Pi, SDR-USB ontvangertje en een simpele DIY-antenne, naar diverse sites, FlightAware, Flightradar 24, Planefinder en RadarBox. Best aardig om te doen en als je regelmatig vliegt is het account dat je in ruil daarvoor krijgt wel grappig.

Je kan bij aanmelden alles opgeven. Hoeft niet, nooit begrepen waarom ze het hemd van je lijf vragen. Maar ik wens ze veel plezier met m’n e-mail, password (geforceerd moeten aanpassen vanochtend) IP adres en zoekgeschiedenis.
vbmot @Joepla18 augustus 2024 14:14
Wat zijn de praktische toepassingen? Ik gebruik de gratis versie van FR24 weleens om te kijken waar het inkomende vliegtuig ongeveer is. Als het toestel een half uur voor vertrek nog niet aan de gate staat, geeft dit een beter beeld waar je ongeveer aan toe bent. Vaak kun je het vluchtnummer makkelijk raden door je eigen vluchtnummer -1 te doen, dus als je zelf wacht op de KL1220 dan is de inkomende waarschijnlijk de KL1219. Als die nog 30 minuten te gaan heeft, kun je nog rustig een kop koffie gaan drinken bijvoorbeeld.
Joepla @vbmot18 augustus 2024 14:40
Als je kijkt bij Premium accounts zie je wat het precies voor extra’s biedt. Je kan langer terugkijken, je hebt meer weer-overlays, dat soort werk. Niet heel spannend.
Kan me overigens niet voorstellen dat iemand daarvoor zo’n bedrag zou betalen ($500 per jaar voor FR24 bv).

Ben jaren geleden ermee begonnen en aangezien het weinig energie en moeite kost, hou ik het in de lucht.
Blokker_1999
@Joepla18 augustus 2024 17:00
$500 is niets voor mensen die het voor professionele doeleinden gebruiken. Iemand die een onderzoek wenst te doen, een journalist, maar ik kan me ook voorstellen dat er ook in de industrie wel belang is naar deze data. Bijvoorbeeld om gedetailleerder op te volgen hoe je concurenten het doen.
Inkjet @Joepla18 augustus 2024 19:37
Er zijn ook veel goedkopere accounts. Inderdaad handig om op te zoeken waar je toestel op dat moment is :)
ieising 18 augustus 2024 14:35
Wonderbaarlijk dat er nog steeds websites zijn die wachtwoorden opslaan. Los van het feit dat ze alle andere informatie ook onversleuteld op lijken te slaan, we weten toch allemaal dat je wachtwoorden nooit op slaat, daar zijn zoveel alternatieven voor. Al was 't maar een simpele hash, dat is al beter. Niet goed genoeg, maar zeker beter.
Blokker_1999
@ieising18 augustus 2024 17:05
Dat wachtwoorden opgeslagen worden lijkt mij normaal. Ik lees evenwel nergens of ze gehashed zijn of niet al kan ik me niet voorstellen dat die vandaag nog ergens plain text worden opgeslagen.
Tom-Z 18 augustus 2024 12:55
In het artikel wordt geschreven over een advocatenkantoor dat "namens" FlightAware onderzoek doet, maar volgens mij klopt dat niet. Het advocatenkantoor is een soort claimclub die compensatie voor de betrokkenen wil binnenhalen.
Source90 18 augustus 2024 15:28
“mogelijk enige tijd zijn blootgesteld”

3,5 jaar lang noem ik geen enige tijd meer, eerder geruime tijd.
digibaro 18 augustus 2024 12:52
Ik zie als ik voor mij zelf spreek een stijgende lijn waarbij mijn gegevens gelekt zijn afgelopen jaar. Een email adres per website pas ik al toe, nu zou ik nog een tijdelijk/alias voor adres, postcode, woonplaats en betaalgegevens willen hebben ... :P

[Reactie gewijzigd door digibaro op 18 augustus 2024 12:54]

Gubbel @digibaro18 augustus 2024 13:02
Met die 3DS verificaties die je tegenwoordig in de app van je kaart verstrekker kunt doen, snap ik sowieso niet waarom een adres nog ergens goed voor is.
Werelds @Gubbel18 augustus 2024 14:34
Omdat je dit in veel landen, inclusief Nederland, over het algemeen wettelijk verplicht bent op de factuur te vermelden. Bij binnenlandse levering kun je die factuur soms achterwege laten, maar zodra het naar het buitenland gaat móet dat adres er in de meeste landen op staan.
Blokker_1999
@Gubbel18 augustus 2024 17:04
Nog te veel webshops en andere online platformen nemen met plezier het risico om de 3DS verificatie over te slaan. Spaart hen weer centiemen per transactie uit en die enkele keer dat er met een gestolen kaart besteld wordt nemen ze dat verlies er dan maar bij.

En het adres is gewoon nodig om een geldige factuur te kunnen maken. Heb je evenwel geen nood aan een factuur, vul daar dan maar in wat je wenst. Je wil niet weten hoe vaak ik al het adres van ons koninklijk paleis heb gebruikt.
emeralda @digibaro18 augustus 2024 13:19
Creditcard gegevens zijn goud waard maar wat kun je met een Nederlandse bankrekening nummer?
gorgi_19 @emeralda18 augustus 2024 14:42
Past in het verhaal van een phising aanval. Als je dit soort informatie kan delen met iemand, kom je veel geloofwaardiger over.
latka @digibaro18 augustus 2024 13:03
Betalen met iDeal dan heeft de site in kwesite geen details die ze per ongeluk kunnen lekken (moet je wel je bank vertrouwen uiteraard)
sOid @digibaro18 augustus 2024 13:49
Wellicht is dit wat voor je: https://www.fakenamegenerator.com/gen-random-nl-nl.php
xoniq 18 augustus 2024 13:10
3 jaar lang, en zaken als BSN adres en geboortedatum, wat heeft dat daar in hemelsnaam te zoeken, zou strafbaar moeten zijn om een BSN nummer op te slaan. Uberhaupt zou dit vrijwel nergens gevraagd hoeven te worden.
psdata @xoniq18 augustus 2024 17:00
Zie BSN en Geb.datum helemaal niet genoemd worden in artikel, alleen Geb jaar.
Dus wat jij aanhaalt zijn aanames
Blizz @psdata18 augustus 2024 18:56
Op basis van de +2 waar je blijkbaar langs bent gescrold lijkt het Tweakers-artikel te zijn aangepast.
xoniq @Blizz19 augustus 2024 01:10
Dit stond inderdaad in het artikel:
de volledige naam, socialemedia-accounts, laatste vier cijfers van het creditcardnummer, het burgerservicenummer, woon- en IP-adres, telefoonnummer, geboortejaar en de accountactiviteit
xoniq @psdata19 augustus 2024 01:11
Ik baseer me op het artikel ten tijde van het lezen. Het is een aanname vanuit jou dat je het een aanname vind. Citaat van wat er in het artikel stond:
de volledige naam, socialemedia-accounts, laatste vier cijfers van het creditcardnummer, het burgerservicenummer, woon- en IP-adres, telefoonnummer, geboortejaar en de accountactiviteit
Ik verwacht dat dit artikel gewoon juist is, en blijkbaar was dat dus niet zo, en vele reacties nu dus ook onjuist daardoor.
Krulliebol @psdata20 augustus 2024 01:21
Dat stond eerder vandaag wél in het artikel. Waarschijnlijk heeft Tweakers de bron (waar ze nota bene zelf naar linken) niet goed gelezen of vertaald en toen ze dat ontdekten, schaamden ze zich zo dat ze het artikel snel hebben aangepast zonder dat erbij te vermelden. Daar worden mensen als @xoniq helaas de dupe van.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq