ABD’deki bir çevrimiçi hediye kartı mağazası, yüzbinlerce müşterinin devlet tarafından verilmiş kimlik belgesini internete açık şekilde ifşa eden bir çevrimiçi depolama sunucusunu güvence altına aldı.
Çevrimiçi tanıtıcıyı kullanan bir güvenlik araştırmacısı JayeLTeegeçen yılın sonlarında, müşterilerin popüler markalarda ve çevrimiçi hizmetlerde kullanabilecekleri dijital hediye kartları satan bir şirket olan MyGiftCardSupply’a ait sürücü ehliyetleri, pasaportlar ve diğer kimlik belgelerini içeren, halka açık depolama sunucusunu buldu.
MyGiftCardSupply’ın web sitesi, genellikle “müşterinizi tanıyın” çekleri veya KYC olarak bilinen ABD kara para aklamayı önleme kurallarına uyum çabalarının bir parçası olarak müşterilerin kimlik belgelerinin bir kopyasını yüklemelerini gerektirdiğini söylüyor.
Ancak dosyaları içeren depolama sunucusunun şifresi yoktu, bu da internetteki herkesin içinde depolanan verilere erişmesine izin veriyordu.
JayeLTee, geçen hafta MyGiftCardSupply’ın araştırmacının açığa çıkan verilerle ilgili e-postasına yanıt vermemesi üzerine TechCrunch’ı bu risk konusunda uyardı.
MyGiftCardSupply kurucusu Sam Gastro, TechCrunch’a ulaştığında güvenlik açığını doğruladı. Gastro, “Dosyalar artık güvende ve KYC doğrulama prosedürünün tam denetimini yapıyoruz” dedi. “İleriye dönük olarak, kimlik doğrulamasını yaptıktan hemen sonra dosyaları sileceğiz.”
Gastro, verilerin ne kadar süreyle internette yayınlandığını söylemedi ve şirket, bilgileri kamuya açıklanan etkilenen kişilere bildirimde bulunma taahhüdünde bulunmadı. Gastro ayrıca MyGiftCardSupply’ın neden araştırmacının e-postasına yanıt vermediğini veya o sırada güvenlik açığını düzeltmediğini de açıklamadı.
JayeLTee’ye göre, Microsoft’un Azure bulutunda barındırılan açığa çıkan veriler, yaklaşık 200.000 müşterinin kimlik belgelerinin 600.000’den fazla ön ve arka görüntüsünü ve selfie fotoğraflarını içeriyordu. KYC kontrollerine tabi şirketlerin, müşterinin söylediği kişi olduğunu doğrulamak ve sahtecilikleri ortadan kaldırmak için müşterilerinden kimlik belgelerinin bir kopyasını tutarken bir selfie çekmelerini istemesi alışılmadık bir durum değil.
Sunucuya en son yüklenen belge, MyGiftCardSupply’ın açığa çıkan sunucuyu güvence altına almasından bir gün önce, 31 Aralık 2024 tarihliydi. Önceki haftalarda binlerce müşteri kimlik belgelerini yükledi ve bu da depolama sunucusunun aktif olarak kullanıldığına işaret etti.
Bu, müşterinin kimliğini doğrulamak için en çok güvenilen tekniklerden biri olmaya devam eden KYC kontrolleri için kimlik belgelerini içeren, son yıllardaki uzun olaylar ve veri ihlalleri listesinin en sonuncusudur.
Geçen Nisan ayında bir bilgisayar korsanı, şirketlerin müşterilerin yüksek risk altında olup olmadığını veya potansiyel suça karışıp karışmadığını belirlemek için kullandığı World-Check adlı devasa bir tarama veritabanını çaldığını iddia etmişti. Sızan verilerin bir kopyası, veritabanında isimlerin, doğum tarihlerinin, pasaport ve sosyal güvenlik numaralarının ve banka hesap numaralarının yer aldığını gösterdi.
JayeLTee Perşembe günü ayrıca rapor edildi Oda arkadaşı bulma sitesi Roomster’dan yaklaşık 320.000 pasaport ve sürücü ehliyeti de dahil olmak üzere açığa çıkmış KYC belgelerinin başka bir önbelleği bulundu. JayeLTee bir blog yazısında Roomster’daki güvenlik açığından tam olarak kaç kişinin etkilendiğinin net olmadığını söyledi.
CEO John Shriber, TechCrunch’ın yorum isteyen e-postasına yanıt vermedi. Roomster’ın baş danışmanı Charles Brofman tarafından yayınlandıktan sonra yapılan açıklamada şirket, “birinin klasörü hacklediğine veya herhangi birinin verilere erişip onu kötü bir şekilde kullandığına inanmak için hiçbir neden olmadığını” söyledi.
Roomster’dı 2023’te 1,6 milyon dolar ödemeye mahkum edildi Doğrulanmamış listeler ve sahte incelemeler yayınlayarak milyonlarca kullanıcısını dolandırdığı iddiasıyla Federal Ticaret Komisyonu’nun şikayetinin ardından.
Roomster’ın açıklamasıyla güncellendi.
