WeWork India, WeWork India’nın ortak çalışma alanlarını ziyaret eden on binlerce kişinin kişisel bilgilerini ve özçekimlerini açığa çıkaran bir güvenlik açığını düzeltti.
Güvenlik araştırmacısı Sandeep Hodkasia WeWork India’nın web sitesindeki check-in uygulamasından ziyaretçilerin ülke çapındaki düzinelerce WeWork India lokasyonunda oturum açmak için kullandıkları ziyaretçi verilerinin sızdığını tespit etti. Uygulamadaki bir hata, kullanıcının sıralı kullanıcı kimliğini tek bir basamak artırarak veya azaltarak herhangi bir ziyaretçinin giriş kaydına erişmenin mümkün olduğu anlamına geliyordu.
Check-in aracı internete dönük olduğundan, hata internetteki herkesin binlerce kayıt arasında dolaşmasına, isimleri, telefon numaralarını, e-posta adreslerini ve özçekimlerini açığa çıkarmasına izin verdi. Hodkasia, birisinin verilere toplu olarak erişmesini önlemek için bariz bir kontrol olmadığını söyledi.
Verilerin hiçbiri şifrelenmedi.
Hodkasia, hatayı TechCrunch’a anlattı, bu da bulgularını çoğaltıp doğruladı ve bilgileri WeWork Hindistan’a iletti.
E-posta ile ulaşıldığında, WeWork Hindistan sözcüsü Apoorva Verma, web sitesinde “temel ziyaretçi bilgilerine kasıtsız erişime izin veren bir hata olduğunu” doğruladı. Check-in uygulaması, TechCrunch şirketle iletişime geçtikten kısa bir süre sonra web sitesinden kaldırıldı. Verma’ya göre, WeWork Hindistan “web sitemizi değiştirmenin ortasında” ve son değişikliklerinin maruziyeti “hafiflettiğini” söyledi.
Tam olarak kaç ziyaretçinin bilgilerinin ne kadar süreyle ifşa edildiği bilinmiyor.
WeWork Hindistan sözcüsü Sweta Nair, bilgileri ifşa edilenleri bilgilendirme planlarının olup olmadığı sorulduğunda, söylemedi. (Hindistan’ın, şirketlerin keşiften sonraki altı saat içinde bir veri ihlalini yetkililere bildirmelerini gerektiren yeni veri ihlali raporlama kuralları henüz yürürlüğe girmedi. gecikme kuralların sunumunda.)
WeWork India, geçtiğimiz yıl siber güvenlikte yaşanan bir gecikmeyle kuşatılmış bir dizi Hintli şirket ve kuruluşa katıldı. 2020’de COVID-19 pandemisinin zirvesi sırasında, Hindistan’ın en büyük hücre ağı Jio, web sitesinde bir koronavirüs kendi kendine test semptom denetleyicisinin sonuçlarını içeren bir veritabanını ifşa etti. Bu yılın başlarında, Hindistan’ın Merkezi Endüstriyel Güvenlik Gücü, internete açık olan ağ günlükleriyle dolu bir veritabanı bırakarak herkesin CISF’nin dahili ağındaki dahili dosyalara doğrudan erişmesine izin verdi. Ve Haziran ayında TechCrunch, PM-Kisan devlet kurumundaki bir güvenlik gecikmesi sayesinde, potansiyel olarak milyonlarca Hindistan çiftçisini içeren Aadhaar sayılarının en son sızıntısını bildirdi.
Devamını oku:
Güvenlik masasıyla iletişime geçmek için +1 646-755-8849 numaralı telefondan Signal’e veya e-posta yoluyla [email protected]’a mesaj gönderebilirsiniz.
