yaz rüzgarları gibi Araştırmacılar, bu hafta mobil uygulama altyapısındaki sistemik güvenlik açıklarının yanı sıra yeni bir iOS güvenlik açığı ve TikTok’taki bir güvenlik açığı konusunda uyardılar. Microsoft’un Windows 11’deki Power Automate aracından yararlanma yollarıyla ilgili yeni bulgular, bunun fidye yazılımlarından keylogger’lara ve daha fazlasına kadar kötü amaçlı yazılımları dağıtmak için nasıl kullanılabileceğini gösteriyor.
İletişim uygulaması Telegram’da çalışan Putin karşıtı medya ağı Şubat Sabahı, Kremlin’e karşı yeraltı direnişinde önemli bir rol üstlendi. Bu arada, “Kaliforniya Yaşına Uygun Tasarım Kodu” bu hafta Kaliforniya yasama meclisinden çocukların ve herkesin çevrimiçi mahremiyeti için büyük potansiyel etkilerle geçti.
Ayrıca, mobilde gizliliğinizi korumak için daha radikal bir adım atmaya hazırsanız ve bunu yaparken kendini bir baş belası gibi hissediyorsanız, hazır telefonları kurma ve kullanma kılavuzumuz var.
Ama bekleyin, dahası var! Her hafta, kendimiz derinlemesine ele almadığımız haberleri vurgularız. Haberin tamamını okumak için aşağıdaki başlıklara tıklayın. Ve orada güvende ol.
Veri komisyoncusu Fog Data Science, 250 milyondan fazla akıllı telefondan ABD’deki yerel, eyalet ve federal kolluk kuvvetlerine milyarlarca konum veri noktası olduğunu iddia ettiği şeye erişim satıyor. Veriler teknoloji şirketlerinden ve cep telefonu kulelerinden geliyor ve binlerce iOS ve Android uygulamasından Sis Gösterimi aracında toplanıyor. En önemlisi, hizmete erişim ucuzdur, genellikle yerel polis departmanlarına yılda 10.000 dolardan daha az maliyetlidir ve Associated Press and Electronic Frontier Foundation tarafından yapılan soruşturmalar, kolluk kuvvetlerinin bazen bir arama izni olmadan konum verilerini çektiğini tespit etti. EFF, soruşturmasını birkaç ay içinde 100’den fazla kamuya açık kayıt talebi aracılığıyla yürütmüştür. EFF, “Üzücü bir şekilde, bu kayıtlar, Fog’un ve bazı kolluk kuvvetlerinin, Fog’un gözetiminin insanların Dördüncü Değişiklik haklarını içerdiğine ve yetkililerin bir arama emri çıkartmasını gerektirdiğine inanmadığını gösteriyor” diye yazdı.
Milyonlarca yüz ve araç plakası hakkında bilgi içeren korumasız bir veritabanı, Ağustos ayının ortasında nihayet korunana kadar aylarca bulutta açığa çıktı ve herkese açık olarak erişilebilir durumdaydı. TechCrunch, verileri doğu Çin’deki Hangzhou merkezli bir teknoloji şirketi olan Xinai Electronics ile ilişkilendirdi. Şirket, otoparklar, şantiyeler, okullar, ofisler veya araçlar gibi alanlara erişim için kimlik doğrulama sistemleri geliştiriyor. Ayrıca bordro, çalışan katılımı ve performans takibi ve plaka tanıma ile ilgili ek hizmetler sunar. Şirket, Çin genelinde konuşlandırılmış, yüz ve plaka verilerini kaydeden devasa bir kamera ağına sahip. Güvenlik araştırmacısı Anurag Sen, TechCrunch’ı, yüz verilerinde adları, yaşları ve yerleşik kimlik numaralarını da açığa çıkaran korumasız veritabanı konusunda uyardı. Bu ifşa, Şanghay polisinin devasa bir veri tabanının internete sızdırılmasından sadece aylar sonra geldi.
Karadağ makamları Çarşamba günü yaptığı açıklamada, “Küba” adlı bir çetenin geçen hafta bir fidye yazılımı saldırısıyla hükümet ağlarını hedef aldığını söyledi. Çete ayrıca karanlık bir web sitesine yapılan saldırının sorumluluğunu da üstlendi. Karadağ Ulusal Güvenlik Dairesi (ANB), grubun Rusya ile bağlantılı olduğunu söyledi. Saldırganların “Zerodate” adlı bir kötü amaçlı yazılım türü dağıttığı ve 10 Karadağ devlet kurumunda 150 bilgisayara bulaştığı bildirildi. Saldırganların, saldırının bir parçası olarak verileri sızdırıp sızdırmadığı belli değil. Amerika Birleşik Devletleri Federal Soruşturma Bürosu, saldırının analizine yardımcı olmaları için Karadağ’a müfettişler gönderiyor.
Pazartesi günü, ABD Federal Ticaret Komisyonu, “yüz milyonlarca mobil cihazdaki” uygulamalardan toplanan coğrafi konum verilerini satmak için veri komisyoncusu Kochava’ya dava açtığını duyurdu. FTC, verilerin, insanların hareketlerini izlemek ve hassas yerlere yapılan ziyaretleri göstermek de dahil olmak üzere nereye gittikleri hakkında bilgi vermek için kullanılabileceğini söyledi. Ajans, “Kochava’nın verileri, insanların üreme sağlığı kliniklerine, ibadet yerlerine, evsiz ve aile içi şiddet sığınma evlerine ve bağımlılık iyileştirme tesislerine yaptığı ziyaretleri ortaya çıkarabilir” diye yazdı. “FTC, verileri takip eden kişileri satarak, Kochava’nın başkalarının bireyleri tanımlamasını ve onları damgalama, takip etme, ayrımcılık, işini kaybetme ve hatta fiziksel şiddet tehditlerine maruz bırakmasını sağladığını iddia ediyor.” Dava, Kochava’nın hassas konum verilerini satmasını engellemeyi amaçlıyor ve ajans, şirketten halihazırda sahip olduklarını silmesini talep ediyor.
Ağustos ayında, üretken fidye yazılımı çetesi Cl0p, Birleşik Krallık’ta bir su tedarik şirketi olan South Staff Water’ı hackledi. Çete, SSW’nin su akışı gibi şeyleri yöneten endüstriyel kontrol ağına bile erişimi olduğunu söyledi. Bilgisayar korsanları, su kaynağı kontrol panellerine erişimlerini gösterdiği iddia edilen ekran görüntüleri yayınladı. Uzmanlar, Anakart’a, bilgisayar korsanlarının gerçekten su kaynağına müdahale etmiş olabileceğini ve kritik altyapı ağlarının normal iş ağlarından yeterince silinmediğinde risklerin altını çizdiğini söyledi. Cl0p, Anakart’a “Evet, erişim vardı, ancak yalnızca ekran görüntüleri aldık” dedi. “İnsanlara zarar vermiyoruz ve kritik altyapıya saygılı davranıyoruz. … Kimseye zarar vermek istemediğimiz için bu konuya girmedik.” SSW yaptığı açıklamada, “Bu olay güvenli su sağlama yeteneğimizi etkilemedi” dedi.