İşletmeler, şirket verilerinin ve hatta kullanıcı verilerinin açığa çıkma riskine rağmen bulut veritabanlarını çevrimiçi ortamda güvensiz bırakmaya devam ediyor.
Check Point Research (CPR), üç aylık bir çalışmanın ardından, veritabanları bulutta korumasız olan ve tarayıcısı olan herkes tarafından erişilebilen 2.113 mobil uygulama buldu.
Açık veritabanlarına sahip mobil uygulamalar, 10 binden fazla indirmeye sahip olanlardan 10 milyondan fazla indirmeye sahip çok popüler uygulamalara kadar uzanıyordu. CPR, söz konusu uygulamalardan sohbet mesajları, kişisel fotoğraflar, telefon numaraları, e-postalar, kullanıcı adları, şifreler ve daha fazlası dahil olmak üzere çok çeşitli hassas veriler buldu.
Check Point Software’de tehdit istihbaratı ve araştırma başkanı Lotem Finkelsteen, firmanın güvenlik araştırmacılarının ücretsiz çevrimiçi araç VirusTotal’ı kullanarak bu açıkta kalan veritabanlarını nasıl kolayca bulabildiğini açıkladı:
“Bu araştırmada, bulutta açık olan veri kümelerini ve kritik kaynakları, bunlara göz atarak kolayca erişebilen herkese bulmanın ne kadar kolay olduğunu gösteriyoruz. Bilgisayar korsanlarının bunu nasıl yapabileceğine dair basit bir yöntemi paylaşıyoruz. Metodoloji, bulut hizmetlerini kullanan mobil uygulamalar için VirusTotal gibi genel dosya havuzlarında arama yapılmasını gerektirir. Bir bilgisayar korsanı, bir mobil uygulamanın bulut arka ucunun tam yolu için VirusTotal’ı sorgulayabilir. Orada kendimiz bulabildiklerimizden birkaç örnek paylaşıyoruz. Bulduğumuz her şey herkesin kullanımına açık. Sonuç olarak, bu araştırma ile bir veri ihlali veya istismarının gerçekleşmesinin ne kadar kolay olduğunu kanıtlıyoruz. Açıkça duran ve buluttaki herkesin kullanımına açık olan veri miktarı çılgınca. İhlal etmek düşündüğümüzden çok daha kolay.”
Açık veritabanlarına sahip mobil uygulamalar
yeni bir Blog yazısıCPR, bulut veritabanlarını çevrimiçi ortamda güvensiz bırakan mobil uygulamaların adlarından bahsetmeden çalışmasından birkaç örnek verdi.
İlk uygulama, Güney Amerika’da 10 milyondan fazla kez indirilen büyük bir mağaza zinciri içindir. CPR, VirusTotal’ı arayarak API ağ geçidi kimlik bilgilerini ve bir API anahtarını bulabildi. Daha da kötüsü, bu kimlik bilgileri düz metindi ve herkes bunları okuyabilir ve mağazanın müşterilerinin hesaplarına erişmek için kullanabilirdi.
Bir sonraki uygulama, bir koşucunun performansını izlemek ve analiz etmek için tasarlanmış bir koşu takip uygulamasıdır ve 100.000’den fazla kez indirilmiştir. Veritabanı, kullanıcıların GPS koordinatlarını ve kalp atış hızları gibi diğer sağlık parametrelerini içeriyordu. Bir saldırgan, elindeki bu bilgilerle, uygulama kullanıcılarının nerede olduğunu izlemek için haritalar oluşturabilir.
Sırada, CPR, engelli insanlar için bir flört uygulamasının açıkta kalan veritabanını buldu. Bu veritabanı, gönderenlerin resimleriyle birlikte 50 bin özel sohbet mesajı içeriyordu. CPR ayrıca, yaygın olarak kullanılan ve 10 milyondan fazla kez indirilen bir logo oluşturucu uygulamasının açıkta kalan veritabanını da buldu. Veritabanının içinde 130 bin kullanıcı adı, e-posta ve şifre vardı.
Bu uygulamalara ek olarak CPR, popüler bir PDF okuyucunun ve bir muhasebe uygulamasının güvenli olmayan veritabanlarına da rastladı.
Güvenlik uzmanlarının tüketicilere akıllı telefonlarını, tabletlerini ve dizüstü bilgisayarlarını güçlü ve karmaşık parolalarla korumalarını önermesiyle aynı şekilde, mobil uygulamaları için veri depolamak için bulut veritabanlarını kullanan işletmeler de öyle olmalıdır.