Dünyanın en popüler uygulamalarını kullananlara ait çok sayıda kişisel veri ve belge, bir yıldan uzun süredir çevrimiçi ortamda sızdırılıyor ve bir süre önce siber suçluların eline geçmiş olabilir.
Sızıntıdan sorumlu şirket AU10TIX, Tel Aviv’in bir banliyösünde bulunuyor ve kişisel belgeler, biyometri ve daha fazlası aracılığıyla kimlik doğrulama konusunda uzmanlaşıyor. Müşterileri arasında X, TikTok, LinkedIn, Coinbase, eToro, PayPal, Fiverr, Upwork, Bumble, Uber ve diğerleri gibi büyük şirketler yer alıyor.
Son zamanlarda bir güvenlik araştırmacısı, AU10TIX’teki bir ağ operasyon merkezi yöneticisine ait ifşa edilmiş kimlik bilgilerini keşfetti. Bunlar, yöneticinin parolalarını ve çeşitli hesaplar için belirteçlerini içeriyordu, bunlar arasında şunlar da vardı: AU10TIX günlük kaydı platformuŞirketin, kimliklerini incelediği kişilere ait verileri işlediği yer.
Hasarın Boyutu
Platformun kayıt altına aldığı veriler arasında isimler, doğum tarihleri, uyruklar ve sürücü belgesi, pasaport gibi kimlik belgelerinin görüntüleri yer alıyordu.
Araştırmacının gözetleme yetkisini sınırlamasına rağmen, “Impersonation_XCorp” ve “uber-carshare-passport” gibi değerlerin yer aldığı bir grafik gibi bazı veri alanlarının, depolanan verilerin doğasını ve amacını gösterdiği ortaya çıktı.
Ayrıca şirketin doğrulama teknolojisinin iç yapısından özel veriler de buldu. Örneğin bir tablo, canlı yüz taramalarının sonuçlarını içeriyordu ve kullanıcının yüzünün “canlı” olma “olasılığını” 0’dan 1’e kadar bir ölçekte derecelendiriyordu. Diğerleri belgelerin ve yüz fotoğraflarının gerçekliğini ölçtü.
En önemlisi, ifşa edilen kimlik bilgilerinin Aralık 2022’de kötü amaçlı yazılım tarafından emildiği ve Mart 2023’te Telegram’a gönderildiği görülüyor.
AU10TIX, 404media’ya yaptığı açıklamalarda başlangıçta “kapsamlı bir soruşturmanın, çalışanların kimlik bilgilerine yasa dışı olarak erişildiğini belirlediğini ve derhal iptal edildiğini” iddia etti. Yayın satıcıya, bu ay itibarıyla, yani olaydan 18 ay sonra, kimlik bilgilerinin hala çevrimiçi olarak açığa çıktığını bildirdiğinde, şirket, açığa çıkan kayıt sistemini kaldırmak için çalışacağını söyledi. Ayrıca etkilenen müşterilere bilgi verildiği iddia edildi ve “mevcut bulgularımıza dayanarak, bu tür verilerin istismar edildiğine dair hiçbir kanıt görmediğimiz” vurgulandı.
Uygulama Kullanıcıları için Catch-22
Günümüzde müşteriler talihsiz bir seçimle karşı karşıyadır (eğer bir seçim olarak kabul edilebilirse). İster kripto para birimi ister ödemeler, ister sosyal medya veya flört olsun, günümüzde popüler uygulamaları kullanmak için genellikle kimliğinizi kanıtlayan ekstra hassas bilgileri ve belgeleri teslim etmeniz gerekir. Aynı zamanda, bu bilgilerin ve belgelerin nasıl işlendiği ve saklandığı konusunda hiçbir kontrolünüz yoktur.
Kişisel güvenliğe maliyet çıkarmadan uygulama güvenliğini sağlamanın bir yolu yok mu?
Sectigo Ürün Kıdemli Başkan Yardımcısı Jason Soroko, “Şirketler, hassas belgeleri ve kişisel olarak tanımlanabilir bilgileri saklama ihtiyacını en aza indiren kimlikleri doğrulamak için çeşitli yöntemler benimseyebilir” diyor.Bir yaklaşım tokenleştirmedirgerçek belgeler yerine belgeleri temsil eden belirteçleri veya karma değerleri depolamayı içerir. Bu, depolama sisteminin tehlikeye girmesi durumunda riski azaltır.”
Başka bir yöntem kullanılır sıfır bilgi kanıtları, bir tarafın diğerine, değeri bildiği gerçeğinin ötesinde herhangi bir bilgi iletmeden bir değeri bildiğini kanıtlamasına olanak tanıyan bir şifreleme tekniğidir. Soroko, “Bu, gerçek verileri ifşa etmeden kimliği doğrulayabilir” diye açıklıyor. “Ayrıca, merkezi olmayan kimlik doğrulama, blockchain teknolojisinden yararlanarak kullanıcıların kimlik bilgilerini kontrol etmelerine ve doğrulama gerektiren hizmetlerle yalnızca gerekli parçaları paylaşmalarına olanak tanıyarak gizliliği ve güvenliği artırıyor.
“Bu yöntemler, güvenliği ve gizliliği artırırken, yeni güvenlik açıklarının ortaya çıkmasını önlemek için dikkatli bir uygulama ve sürekli yönetim gerektiriyor.”