Amerikan Arşivi’nde Güvenlik Açığı: Medya İhlalleri ve Sonuçları
Amerikan Archive of Public Broadcasting (AAPB) web sitesinde meydana gelen bir güvenlik açığı, sıradışı bir şekilde, yıllarca korunan ve özel olan medya içeriklerinin indirilmesine olanak sağladı. Bu güvenlik açığı, Mart ayında düzeltilmiş olsa da, yaşanan olaylar birçok önemli soruyu gündeme getirdi.
Güvenlik Açığının Ortaya Çıkışı
Bir siber güvenlik uzmanı, AAPB’deki bu açığı BleepingComputer’a bildirmiştir. Uzmana göre, bu açık en az 2021’den beri istismar edilmiş. Açık, daha önce uzman tarafından AAPB’ye rapor edilmesine rağmen, göz ardı edildi. AAPB’nin sözcüsü açıktan haberdar olduktan sonra durumu kabul etti ve güvenlik açığının 48 saat içinde kapatıldığını doğruladı.
Emily Balk, AAPB’nin İletişim Müdürü, “Arşiv materyallerimizin korunması ve muhafazası konusunda kararlıyız ve arşivimizin güvenliğini artırdık,” diyerek durumu özetledi. AAPB, kamuya açık medya tarihini bedava ve erişilebilir hale getirme konusunda kararlıdır.
AAPB ve Arşivleme Misyonu
WGBH Educational Foundation (GBH) ve Kongre Kütüphanesi tarafından işletilen Amerikan Archive, tarihsel öneme sahip içerikleri toplayıp dijitalleştirmek ve korumak amacıyla kurulmuş bir kamu yararına çalışan arşivdir. ABD’deki kamu radyoları ve televizyonları tarafından üretilen içerikleri koruma misyonunu taşır.
Bu arşiv, kamuya açık medya içeriğinin korunması açısından büyük önem taşımaktadır. Ancak, güvenlik açığı nedeniyle, arşivde korunması hedeflenen bazı içerikler kötü niyetli şahıslar tarafından sızdırılmıştır.
Sesame Street Olayı ve İhlalin Yayılması
AAPB’deki ihlalin ilk olarak Sesame Street programının “Wicked Witch of the West” bölümünün sızdırılmasıyla gün yüzüne çıktığı bildirilmektedir. Bu olay, Lost Media Wiki‘nin Discord kanalı üzerinden tartışılmaya başlanmış ve bu nedenle bölüm hemen kaldırılmıştır.
Lost Media Wiki, bu bölümün “muhtemelen yasa dışı bir veri ihlali yoluyla edinildiğini” belirterek, kullanıcıları bu içeriği yeniden paylaşmamaları konusunda uyarmıştır. İlk başta gizli olan bu sömürü yöntemi, 2024 ortalarında Discord’da belgelenmiş ve daha fazla içerik sızıntısına yol açmıştır.
Data Hoarding ve İçerik Koruma Toplulukları
Data hoarders olarak bilinen bu topluluklar, yazılım, web siteleri, işletim sistemleri ve çeşitli medya biçimlerini arşivlemeye adanmıştır. Ancak bu topluluklar genellikle telif hakkı sınırlarını zorlayarak, korunan içerikleri paylaşmakta ve bu durum dijital korsanlık sınırlarını bulanıklaştırmaktadır.
BleepingComputer, AAPB açıklarının çeşitli Discord sunucularında yayılmaya devam ettiğini bildirmiştir. Tampermonkey scripti gibi basit bir exploit paylaşılmıştır. Bu exploit, kötü niyetli kullanıcıların güvenli erişim kontrollerini aşarak medya dosyalarına ulaşmasına olanak tanımıştır.
İhlalin Teknik Detayları
Güvenlik açığı, kullanıcıların medya dosyalarını ID ile talep etmelerine olanak tanıyan bir insecure direct object reference (IDOR) hatasıdır. Kullanıcıların medya ID parametresini değiştirerek korunan veya özel içeriklere erişmeleri sağlanmıştır.
Ana /media/{ID} sayfaları bazı erişim kontrollerine sahip olsa da; arka planda yapılan fetch veya XMLHttpRequest çağrılarını manipüle ederek bu kontrolleri aşmayı başarmışlardır. Kullanıcıların geçerli bir medya ID’si olduğu sürece, içerik sunulmaya devam etmiştir.
Sonraki Adımlar ve Sonuçlar
Güvenlik açığı kapatılmış olsa da, ne kadar içeriğin bu süreçte erişildiği ve paylaşıldığı belirsizliğini korumaktadır. AAPB’de yaşanan bu olay, daha önce PBS çalışanlarının iletişim bilgilerinin sızmasıyla benzer bir durumu sergilemektedir. Her iki olay da arşivleme ve hayran topluluklarının hassas verilere erişebilme kapasitesini gözler önüne sermektedir.
Arşiv toplulukları, her ne kadar kötü niyet taşımadan hareket etse de, korunması gereken içeriklerin güvenliği ciddi bir tehdit altındadır. Bu tür olaylar, toplumun güvenli bir medya tüketim ortamı için gelecekte daha dikkatli olması gerektiğini göstermektedir.
