Amerika Birleşik Devletleri’nde otomobil sigortası taleplerini yönetmek için Illinois merkezli bir platform olan Müşterilerin Müşterileri’ne ait büyük bir veri koleksiyonu, yakın zamanda çevrimiçi olarak çevrimiçi olarak erişilebilir olduğu keşfedildi.
Siber güvenlik araştırmacısı Jeremiah Fowler, bir şifre tarafından korunmayan ve tamamen şifrelenmemiş olan 5.1 milyondan fazla dosya (büyük bir 10.7 terabayt veri) içeren bir veritabanı buldu. Bu araştırma Web sitesi Planet tarafından yayınlandı ve paylaştı. Hackread.com.
Milyonlarca kayıt korumasız kaldı
Maruz kalan veritabanı kişisel tanımlanabilir bilgileri (PII) içeriyordu. Analiz edilen dosyaların sınırlı bir örneklemesinde Fowler, müşterilerin adları, ev adresleri, telefon numaraları ve e -postaları olan sigorta belgeleri buldu.
Maruz kalma, resmi araç kayıtları, onarım faturaları ve açıkça plakalar ve araç kimlik numaraları (VINS) gösteren hasarlı otomobillerin görüntüleri gibi daha hassas belgeler içeriyordu.
Veritabanının içinde bir dizi belge gösteren ekran görüntüleri (Image Credit: Web Sitesi Planet)
Maruz kalan POA (Resim Kredisi: Web Sitesi Planet)
Kapsamlı araç bilgileri içeren bir kayıt belgesini gösteren ekran görüntüsü. (Resim Kredisi: Web Sitesi Planet)
Veritabanı ayrıca gizli yazılım lisansı sözleşmeleri gibi dahili şirket belgeleri içeriyordu. Daha fazla problama, yıl, marka ve model gibi araç özelliklerini gösteren kayıtlar da dahil olmak üzere bu bilgilerin büyük ölçüde ortaya çıktı.
Taklit ve sahtekarlık tehdidi
Bu sızıntının en endişe verici yönlerinden biri, yaklaşık 16.000 vekaletname (POA) belgelerinin keşfi. POA, bir motorlu taşıt unvanını mal sahibi adına satın alma, satma veya aktarma konusunda yasal otorite veren bir belgedir. Bu belgeler elektronik olarak imzalandığından ve hatta imzalayanın IP adreslerini içerdiğinden, ciddi bir tehdit oluştururlar.
Suçlular, kimlik hırsızlığı, mali suçlar ve hatta yeni, sahte bir kimlik yaratmak için bu kişisel detaylar ve yasal yetkilendirme kombinasyonunu kullanabilirler. Vins ve plakaların maruz kalması, blog yazısında açıklanan Fowler, otomobiller için kimlik hırsızlığı gibi bir “araç klonlama” riski yaratıyor.
Tawspix olayın ciddiyetini kabul etti. Şirket, Fowler’dan sorumlu bir açıklama bildirimi aldıktan sonra veritabanına erişimi hızla kısıtladı. Açıklamaya yanıt olarak, “Bulgularınızı araştırdık ve doğruladık” ve o zamandan beri “bu sorunu ele almak için güncellenmiş politikalar ve kodumuzu bu akşam daha sonra canlı hale getirecekler” dediler. Bu, müşteri verilerini ileriye götürmek için hoş bir adımdır.
Bununla birlikte, veritabanının Truspix tarafından doğrudan mı yoksa üçüncü taraf bir satıcı tarafından mı yönetilip yönetilmediğinden ve verilerin maruz kaldığı toplam sürenin hala bilinmemektedir.