ABD ve İngiltere askeri personeline yönelik bir sosyal ağ olan Forces Penpals, SSN’ler, kişisel ayrıntılar ve hizmet kanıtı dahil olmak üzere 1,1 milyon kullanıcının hassas verilerini açığa çıkardı. Olay ve olası etkisi hakkında bilgi edinin.
ABD ve Birleşik Krallık silahlı kuvvetleri üyeleri ve destekçileri için bir arkadaşlık hizmeti ve sosyal ağ olan Forces Penpals’ın 1,1 milyondan fazla kayıtlı kullanıcının kişisel bilgilerini sızdırdığı tespit edildi.
Bu sorun, güvenlik önlemlerini ortaya çıkarması ve tavsiyelerde bulunmasıyla tanınan önde gelen siber güvenlik araştırmacısı Jeremiah Fowler tarafından belirlendi. yanlış yapılandırılmış bulut sunucuları ve veritabanları.
Fowler’a göre rapor 20 Kasım 2024’te yayınlanmadan önce Hackread.com ile paylaşılan VPNmentor için veriler, halka açık olarak Forces Penpals olarak işlem gören Conduitor Limited’e aitti.
Açığa Çıkan Veriler
Analiz, sızdırılan bilgilerin hem Kişisel Olarak Tanımlanabilir Bilgileri (PII) hem de hassas görüntüleri içerdiğini ortaya çıkardı. Ek olarak, açığa çıkan veriler şüphelenmeyen kullanıcıların Sosyal Güvenlik Numaralarını (SSN’ler) içeriyordu. Bu, bir bilgisayar korsanının ABD, Kanada ve Birleşik Krallık’taki kullanıcılardan milyarlarca SSN’yi de içeren 3,6 milyar kaydı sızdırdığı 6 Ağustos 2024 tarihli Ulusal Kamu Verileri ihlalini hatırlatıyor.
Forces Penpals vakasında sunucu aşağıdaki verileri açığa çıkardı:
- Görseller
- Konumlar
- Tam isimler
- Posta adresleri
- Sosyal Güvenlik Numaraları
- Ulusal Sigorta Numaraları (Birleşik Krallık’taki SSN’ye benzer).
Fowler, sunucunun ifşa edilmemesi gereken ek veriler de içerdiğini belirtti. Bunlar arasında hizmet kanıtı, askeri rütbeler, bireyin ait olduğu hizmet dalı ve diğer hassas ayrıntılar gibi belgeler yer alıyordu.
“Kamuya açık veritabanı parola korumalı veya şifreli değildi. Toplam 1.187.296 belge içeriyordu. Sınırlı bir örneklemede, gördüğüm belgelerin çoğunluğu kullanıcı resimleriydi, diğerleri ise potansiyel olarak hassas hizmet kanıtı belgelerinin fotoğraflarıydı.”
Jeremiah Fowler
Mevcut Durum
Forces Penpals ihlali kabul etti ve bunu belgeleri yanlış yönlendiren ve bir dizin listesini herkesin erişimine açık bırakan bir kodlama hatasına bağladı. Şirket o zamandan beri veritabanını güvence altına almak için adımlar attı.
Ancak herhangi bir kötü niyetli aktörün ifşa edilen bilgilere erişip erişmediği hala belirsiz. Forces Mektup Arkadaşları henüz maruziyetin süresini açıklamadı veya herhangi bir şüpheli faaliyet belirtisi bildirmedi.
Verilerin web sitesinden mi yoksa şirketin iOS ve Android uygulamalarından mı sızdırıldığı da belli değil. Bununla birlikte bu olay, benzer hizmetlerin veri güvenliğine odaklanması ve kullanıcılarının gizliliğini artan siber tehditlere karşı koruması gerektiğini hatırlatıyor.
İLGİLİ KONULAR
- Veri Sızıntısı Hindistan Polisi ve Askeri Biyometrik Verileri Açığa Çıkardı
- ABD askeri personeli dolandırılarak 822 milyon dolar kaybetti
- İngiliz Ordusunun Twitter ve YouTube’u Kripto Dolandırıcılığıyla Hacklendi
- ABD Ordusu Veri İhlalleriyle Bağlantılı Akıllı Saatler Tarafından Hedef Alınıyor
- Yanlış Yapılandırılmış AWS Kovaları ABD Askeri Casusluk Kampanyasını Açığa Çıkardı