Popüler mesajlaşma uygulaması JusTalk’a ait büyük bir sohbet günlüğü veritabanı, nereye bakacağını bilen herkesin erişebileceği şekilde web’de aylarca korumasız kaldı.
Siber güvenlik araştırmacısı Anurag Sen, kimlik hırsızlığı yapmak isteyen siber suçlular için yararlı olan, kişisel olarak tanımlanabilir birçok bilgi içeren şifrelenmemiş verileri depolayan, parolası olmayan veritabanını ortaya çıkardı. (yeni sekmede açılır)sosyal mühendislik veya diğer siber suç türleri.
Veriler, mesajların kendisini, kullanıcı telefon numaralarını (hem gönderici hem de alıcı), arama günlüklerini içeriyordu ve bunların tümü yalnızca belirli kişileri ve belirli konuşmaları tanımlayabilmek için yeterliydi.
Milyonlarca potansiyel kurban
Aslında, günlükleri incelerken, TechCrunch telefon numaralarını herkese açık olarak listeleyen bir seks işçisini talep eden bir papaz bulmayı başardığını söylüyor. Günlük, toplantının zamanını, yerini ve fiyatını içeriyordu.
Veritabanının kendisi “yüzlerce gigabayt” büyüklüğünde ve Çin’deki bir Huawei sunucusunda barındırılıyor. Erişmek için bir kişinin ihtiyaç duyacağı tek şey bir tarayıcı ve IP adresidir. Araştırmacı, veritabanı arama motoru Shodan’ın yardımıyla, sunucunun ilk kez ortaya çıktığı bu yılın Ocak ayı gibi erken bir tarihte veritabanında yeni veriler depoladığını keşfetti.
Bu gafta kaç kişinin hassas verilerinin açığa çıktığını tam olarak bilmek imkansız, ancak JusTalk’un yaklaşık 20 milyon kullanıcısı olduğunu biliyoruz. Ayrıca, küçükler için ayrı bir uygulama olan ve Android’de bir milyondan fazla indirilen JusTalk Kids’e sahiptir.
Sen sorunu JusTalk’a bildirdikten sonra, görünüşe göre veritabanını kapattı, ancak bulgular hakkında yorum yapmamaya da karar verdi.
Görünüşe göre Sen, bu veritabanını ilk keşfeden kişi değildi, çünkü bir fidye notu içeriyordu, yani birileri onu şirketten zorla para almak için kullanmaya çalıştı, ancak başarılı olup olmadıkları şu anda bilinmiyor.
Aracılığıyla: TechCrunch (yeni sekmede açılır)