Önemli bir veri ifşa olayı, bulut tabanlı faturalama platformunu Invoicely’yi etkileyerek dünya çapındaki müşterilere ait hassas bilgilerin tehlikeye atılmasına neden oldu.
Açığa çıkan veritabanı, Excel elektronik tabloları, CSV dosyaları, PDF’ler ve resimler dahil olmak üzere çeşitli formatlarda 178.519 dosya içeriyordu. En endişe verici olanı, güvenlik önlemlerinin tamamen eksikliğiydi; veritabanı ne parola korumalı ne de şifrelenmişti, bu da onu çevrimiçi keşfeden herkesin erişebilmesini sağlıyordu.
Fowler’ın araştırması, birden fazla ülkedeki hizmet sağlayıcılara, ortaklara, çalışanlara ve müşterilere ait adlar, fiziksel adresler, telefon numaraları ve vergi kimlik numaraları gibi kişisel olarak tanımlanabilir bilgileri içeren faturaları ortaya çıkardı.
Veritabanında standart iş belgelerinin ötesinde uçak biletleri, araç paylaşımı makbuzları, sağlık sigortası kayıtları ve tıbbi ödeme bilgileri de bulunuyordu.
Keşfin ekran görüntüleri, dokuz haneli yönlendirme numaraları, hesap numaraları ve çek numaralarıyla tamamlanmış taranmış çekleri göstererek, finansal verilere maruz kalmanın ciddiyetini vurguladı.
Siber güvenlik araştırmacısı Jeremiah Fowler, faturalar, banka bilgileri, vergi belgeleri ve diğer gizli kayıtlar dahil olmak üzere yaklaşık 180.000 dosya içeren korumasız bir veritabanı keşfetti.
Veritabanı ve içeriği, Viyana merkezli bir yazılım şirketi olan Stack Holdings GmbH tarafından işletilen Invoicely’ye ait olduğunu gösteriyor. Sorumlu açıklama protokollerini takip eden Fowler, destek sistemi aracılığıyla derhal Invoicely ile iletişime geçti.
Şirket hızlı bir şekilde yanıt verdi ve açıklamaya herhangi bir resmi yanıt vermemesine rağmen, bildirimden birkaç saat sonra veritabanına kamunun erişimini kısıtladı.
Çeyrek Milyon İşletme
Invoicely, dünya çapındaki işletmelere bulut tabanlı faturalandırma ve faturalandırma hizmetleri sağlayarak tahminler oluşturmaya, yinelenen faturalamayı otomatikleştirmeye, ödeme hatırlatıcıları göndermeye ve giderleri ve kilometreyi izlemeye yönelik araçlar sunar.
Platform, sınırlı ücretsiz hesaplara ve genişletilmiş özellikler sunan ücretli katmanlara sahip bir freemium modelinde çalışır. Hem iOS hem de Android platformlarında mevcut olan Invoicely, LinkedIn profillerine göre 250.000’den fazla işletmeye hizmet vermektedir.
Açığa çıkma zaman çizelgesi hala belirsizliğini koruyor; ne veritabanının ne kadar süreyle kamuya açık olduğu, ne de Fowler’ın keşfinden önce yetkisiz kişilerin bilgilere erişip erişmediği.
Ek olarak, veritabanının doğrudan Invoicely tarafından mı yoksa üçüncü taraf bir yüklenici tarafından mı yönetildiği bilinmiyor; bu bilginin belirlenmesi için dahili bir adli tıp denetimi yapılması gerekiyor.
Fatura Dolandırıcılığı Kuruluşları Tehdit Ediyor
Bu olay, fatura sahtekarlığıyla ilgili endişelerin arttığı bir dönemde meydana geldi; 2024 AFP Ödeme Sahtekarlığı ve Kontrol Araştırması, kuruluşların %80’inin 2023’te ödeme veya fatura sahtekarlığı girişimleri yaşadığını ortaya koydu; bu, bir önceki yıla göre %15 artış anlamına geliyor.
Açığa çıkan fatura verileri, suçlulara iş ilişkileri, ödeme süreçleri ve karmaşık dolandırıcılık planları için silah olarak kullanılabilecek finansal hesaplar hakkında ayrıntılı bilgi sağlar.
Sızan vergi belgeleri, Sosyal Güvenlik numaraları, doğum tarihleri ve kimlik hırsızlığına olanak tanıyan işveren ayrıntılarını içeren ek riskler sunuyor.
IRS, 2025 vergi sezonunda çalıntı kimlikler kullanılarak yaklaşık 6.000 sahte vergi beyannamesinin sunulduğunu ve yetkililerin 54 milyon dolarlık sahte geri ödemeleri engellediğini tahmin etti.
Hassas finansal verileri yöneten kuruluşlar için güvenlik uzmanları, depolanan tüm bilgiler için şifreleme uygulanmasını, düzenli güvenlik açığı değerlendirmeleri yapılmasını ve sürekli izleme sistemlerinin sürdürülmesini önermektedir.
Etkilenme potansiyeli olan işletmeler ve bireyler, ilgili hesaplardaki şifreleri değiştirmeli, kredi raporlarını şüpheli faaliyetlere karşı izlemeli ve beklenmedik ödeme taleplerini işleme koymadan önce resmi kanallar aracılığıyla doğrulamalıdır.
Olay, bulut tabanlı iş platformlarının, özellikle de dünya çapında yüz binlerce kullanıcının finansal ve kişisel bilgilerini işleyenlerin güvenliğinin sağlanmasının kritik öneminin altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.