Yakın zamanda düzeltilmiş içerik oluşturucuları desteklemek için popüler bir platformdaki güvenlik hatası, gizlilik odaklı platformların bile içerik oluşturucuların özel bilgilerini nasıl riske atabileceğini gösteriyor.
2021’de kurulan Throne, kendisini “hayranlarınız ve sizin aranızda aracı görevi gören, tamamen güvenli, kapıcı istek listesi hizmeti” olarak tanımlıyor. Throne, yaratıcıların ev adresinin gizliliğini korurken, her gün binlerce dilek listesi öğesini göndererek 200.000’den fazla yaratıcıyı desteklediğini iddia ediyor.
Fikir şu ki, yayıncılar ve oyuncular gibi çevrimiçi içerik oluşturucular, destekçilerin satın alabileceği hediyelerden oluşan bir dilek listesi yayınlayabilir ve Throne aracı olarak hareket eder. Web sitesinde “Hayranlarınız hediyelerin parasını ödüyor ve gerisini biz hallediyoruz” yazıyor. “Ödemenin işlenmesini, ürünün gönderilmesini ve en önemlisi özel bilgilerinizin gizli kalmasını sağlıyoruz.”
Ancak bir grup iyi niyetli bilgisayar korsanı, bu iddiayı çürüten ve onu oluşturan kullanıcıların özel ev adreslerini ifşa eden bir güvenlik açığı buldu.
Girmek Zerforschung, en son keşfinin arkasındaki Alman güvenlik araştırmacıları topluluğu. Kollektifi, Elon Musk’ın yeni sahipliği altında Twitter’dan çıkışta popülerlik kazanan sosyal medya alternatifi Hive’da büyük güvenlik açıkları bulup ifşa ettikleri Aralık ayından hatırlayabilirsiniz. Hive, güvenlik açıklarını gidermek için kısa süreliğine kendini kapattı Zerforschung tarafından bulunduherhangi birinin başka birinin gönderilerini değiştirmesine ve diğer kişilerin özel mesajlarına erişmesine izin verdi.
Zerforschung, TechCrunch’a şirketin veri depolamak için Google’ın Firebase’inde barındırılan veritabanını nasıl kurduğundaki güvenlik açığını keşfettiklerini söyledi. Araştırmacılar, veritabanının yanlışlıkla, şifreye ihtiyaç duymadan bir hesaba girmek için kullanılabilen veritabanından Amazon hesapları için oturum çerezleri de dahil olmak üzere, internetteki herhangi birinin içindeki verilere erişmesine izin verecek şekilde yapılandırıldığını söyledi.
Oturum tanımlama bilgileri, kullanıcıların tekrar tekrar parola girmek veya iki faktörlü kimlik doğrulama ile oturum açmak zorunda kalmadan uygulamalarda ve web sitelerinde oturum açmış halde kalmalarını sağlamak için bilgisayarınızda veya cihazınızda bulunan küçük kod parçalarıdır. Oturum tanımlama bilgileri, kullanıcının oturumunu açık tuttuğundan, o kullanıcıymış gibi oturum açmak için kullanılabildikleri için bilgisayar korsanları için çekici bir hedef olabilirler. Bu, kullanıcı dışında birinin bir oturum çerezini kötüye kullandığını tespit etmeyi de zorlaştırabilir.
Güvenlik araştırmacıları, bu Amazon oturum tanımlama bilgileriyle, Throne’un bir yaratıcının dilek listesinden hediye sipariş etmek ve göndermek için kullanılan Amazon hesabına, şifreye ihtiyaç duymadan erişebileceklerini keşfettiler. Araştırmacılar, Throne’un Amazon hesabının anahtarları olan aynı oturum çerezlerine sahip herkesin oturum açıp binlerce siparişe ve bunların yaratıcılarının adlarına ve adreslerine bakabileceğini söyledi.
Zerforschung, hatayı geçen hafta TechCrunch ile yaptığı bir video görüşmesinde gösterdi ve bulgularını doğrulamamıza izin verdi. Araştırmacılar bize son birkaç ayda Throne’un Amazon hesabı üzerinden verilen binlerce siparişi gösterdi ve Throne’un koruduğunu iddia ettiği içerik oluşturucuların adlarının ve adreslerinin açığa çıktığını gösterdi.
Araştırmacılar topluluğu, hatayı aynı gün daha sonra Throne’a bildirdi. Throne, hatayı kısa bir süre sonra düzeltti ve güvenlik açığını onayladı. bir blog yazısı Zerforschung’a bulguları için teşekkür ederek bu hafta yayınlandı.
“Mart sonunda, Firestore kurallarını yanlış yapılandıran bir Throne sürümü gönderildi. Bu, güvenlik araştırmacılarının dolandırıcılığı önleme amacıyla tuttuğumuz bloke edilmiş IP adresleri ve ticari hesaplarımızın küçük bir alt kümesi için oturum tanımlama bilgileri gibi olmaması gereken bazı verileri okumasını mümkün kıldı,” dedi Throne.
Ancak şirket için sorular devam ediyor. Throne, “hiçbir risk olmadığını ve bilinmeyen hiçbir tarafın herhangi bir veriyi görüntülemediğini” belirlemek için ağ günlüklerini kullandığını söylüyor. Zerforschung, Throne kolektiften şirketin olayı araştırmak için kullanabileceği IP adreslerini sormadığı ve araştırmacıların faaliyetlerini göz ardı ettiği için bu iddiaya itiraz ediyor.
Günlükler önemlidir, çünkü kimin nereden ve ne zaman oturum açtığı gibi dahili olayları takip ederler. Mantık, Zerforschung gibi güvenlik araştırmacıları hatayı bulduysa, kötü niyetli aktörlerin de keşfetmiş olabileceği şeklindedir. Başka birinin Throne verilerine erişip erişmediği veya bunları sızdırıp sızdırmadığı veya Throne’un varsa hangi verilerin görüntülendiğini belirleyecek teknik yeteneğe sahip olup olmadığı net değil.
Throne ayrıca blog gönderisinde, adı açıklanmayan bir Alman veri gizliliği uzmanının “hiçbir veri riski olmadığını doğruladığını” iddia etti ve bu, Zerforschung’un aksini kanıtladığı için mantıklı değil.
Yorum için ulaşıldığında, Throne’un kurucu ortağı Patrice Becker, Throne’un blog gönderisinin çoğunu standart açıklamalarla yineledi, ancak özel sorularımızı yanıtlamayı veya sözde veri gizliliği uzmanının adını blog gönderisinden vermeyi reddetti.
Bu soru sorulduğunda Becker, Zerforschung’un bulgularına veya içerik oluşturucuların ev adreslerinin açığa çıkmasına itiraz etmedi.