Açık erişime sahip bir Amazon sunucusu, internet tarayıcısına sahip herkesin şifreye ihtiyaç duymadan yüz binlerce kişinin kişisel verilerine ulaşmasına olanak tanıdı. Bu veriler arasında sürücü belgeleri, pasaportlar ve Toronto merkezli Duales’in para transfer hizmeti olan Duc App tarafından toplanan diğer kişisel bilgiler yer alıyor.
Kanadalı finans teknolojisi şirketi, TechCrunch’ın yöneticisine bilgi verdiği günden itibaren verilerin açığa çıkmasını gidermek için çalışmalara başladıklarını açıkladı. Dataların, erişim şifresi olmadan halka açık bir şekilde listelendiğini tespit ettiklerinde harekete geçtiler.
Veriler, şifrelenmemiş olarak saklandığı için, bağlantıya sahip olan herkes tam olarak görebiliyordu.
Güvenlik araştırmacısı Anurag Sen, bu güvenlik açığını keşfettikten sonra TechCrunch ile iletişime geçti. Sen, doğru tahmin edilen bir web adresine sahip olan herkesin tarayıcıları aracılığıyla verilere erişip indirebileceğini belirtti.
Sen’in açıklamalarına göre, Amazon sunucusu 360,000’den fazla dosya listeliyordu. Bu dosyalar, müşterilerin kimliklerini doğrulamak için kullandıkları devlet belgeleri ve diğer bilgileri içeriyordu. Dosyalar arasında müşterilerin gerçek yüzlerini kanıtlamak için yükledikleri selfies de bulunuyordu.
TechCrunch, sızdırılan sürücü belgeleri ve pasaportların sayısını kesin olarak belirleyemedi, ancak maruz kalan klasörlerin her birinde on binlerce kullanıcı yüklemesi olduğu görüldü. Bu örneklerin arasında sürücü belgeleri, pasaportlar ve selfies yer alıyordu.
Duales, uygulamasını kullanıcıların diğerlerine para göndermesine olanak tanıyan bir araç olarak tanıtıyor. Uygulamanın Google Play uygulama mağazasındaki kaydında şu ana kadar 100,000’den fazla indirme olduğu bilgisi yer alıyor.
Eylül 2020’den itibaren yüklenen dosyalar ayrıca müşteri isimlerini, adreslerini ve işlemlerinin tarih ve detaylarını içeren tablolar da barındırıyordu.
Duales’in CEO’su Henry Martinez González, TechCrunch’a e-posta ile yaptığı açıklamada, verilerin bir “test sitesinde” saklandığını, ancak müşterilerin kişisel bilgilerinin neden aynı veritabanında herkese açık erişime sahip olduğunu açıklamadı.
“Tüm koruma önlemleri alındı,” diyen Martinez, “ilgili taraflara bildirim yapıyoruz. Sizinle herhangi bir hizmet sözleşmesi yapmadık” ifadelerini kullandı.
TechCrunch’a e-posta gönderildikten sonra, sunucudaki dosyalar erişimden kaldırıldı, ancak sunucunun içeriği hala görülebiliyordu.
Martinez, şirketin bu verilerin kimler tarafından erişildiğini veya kaç kişinin eriştiğini belirlemek için teknik imkanlara sahip olup olmadığını belirtmedi.
Duc App’in web sitesi, Perşembe günü kısa bir süreliğine kapalı göründü ve “kötü ağ geçidi” hatası verdi.
Duales’in Amazon’da barındırılan sunucusunu neden internetin açık erişimine bıraktığı netlik kazanmadı. Son yıllarda Amazon, kullanıcıların verilerini yanlış bir şekilde internete açmasını önlemek için güvenlik kontrolleri ekledi, zira birçok büyük şirket bu tür yüksek profilli olaylara maruz kalmıştır.
TechCrunch’ın uygulamanın sahibine ulaşma çabası sırasında Kanada’nın gizlilik düzenleyicisi, şirkette daha fazla bilgi talep ettiğini belirtti.
“Kanada Gizlilik Komiserliği Ofisi, şirketle iletişime geçerek daha fazla bilgi almakta ve sonraki adımları belirlemeye çalışmaktadır” şeklinde bir açıklama yapıldı.
Duc App, insanların hassas kimlik verilerinin açığa çıkmasıyla ilgili son güvenlik açıkları listesindeki en son uygulama oldu. Bu veri sızıntıları, uygulama ve web sitelerinin kullanıcıların kimliklerini doğrulamak için hükümet belgelerini yüklemelerini gerektirmesiyle ortaya çıktı, ancak topladıkları verileri koruma konusunda yeterli adımlar atılmamaktadır.
Geçen yıl popüler uygulama TeaOnHer, kullanıcılarının yüklemesi gereken pasaportlar ve sürücü belgeleri gibi binlerce kimlik belgesini açığa çıkardı. Discord da geçtiğimiz yıl yaşanan bir veri ihlalinde yaklaşık 70,000 hükümet belgeleri etkilenmişti.
Bu tür olayların tekrar etmesini engellemek için sizce uygulamalar ve hizmetler ne gibi önlemler almalıdır?
