Amerikan Public Broadcasting’in web sitesi arşivindeki bir güvenlik açığı, yıllarca korunan ve özel medyanın indirilmesine izin verdi ve kusur bu ay sessizce yamalı.
BleepingComputer, anonim kalmasını isteyen bir siber güvenlik araştırmacısı tarafından kusur hakkında eğildi, araştırmacı daha önce organizasyona bildirdikten sonra bile en az 2021’den beri kullanıldığını belirtti.
AAPB ile kusur hakkında temasa geçtikten sonra, bir sözcü sorunu doğruladı ve araştırmacı düzeltmenin 48 saat içinde uygulandığını doğruladı.
AAPB’nin iletişim müdürü Emily Balk, BleepingComputer’a “AAPB’deki arşiv materyalini korumaya ve korumaya kararlıyız ve arşiv için güvenliği güçlendirdik.” Dedi.
Diyerek şöyle devam etti: “Kamu medyası geçmişini halka açık ve erişilebilir hale getirmeye devam etmeyi dört gözle bekliyoruz.”
WGBH Eğitim Vakfı (GBH) ve Kongre Kütüphanesi tarafından işletilen Amerikan arşivi, misyonu Amerika Birleşik Devletleri’nde kamu radyosu ve televizyon tarafından üretilen tarihsel olarak önemli içeriği toplamak, dijitalleştirmek ve korumak olan kamusal kar amacı gütmeyen bir arşivdir.
BleepingComputer, AAPB güvenlik açığının, Lost Media Wiki Discord Channel’daki Susam Caddesi “Batı Cadı” bölümünün sızıntısı hakkında çevrimiçi tartışmalarda bir söylenti olarak yayınlandığı söylendi.
Lost Media Wiki, “muhtemelen yasadışı bir veri ihlali ile elde edildiğini” söyleyerek, üyeleri anlaşmazlık kanalında yeniden paylaşmaktan kaçınmaya çağırdı.
Başlangıçta gizli olarak, istismar yöntemi, 2014 ortasına kadar anlaşmazlık koruma gruplarında dolaşmaya başladı ve içerik korumasına odaklanan uyumsuzluk sunucularında daha fazla korunan içerik sızıntısına yol açtı.
Veri istifçileri olarak bilinen bu topluluklar, kendilerini yazılım, web siteleri, işletim sistemleri ve TV şovları, müzik ve filmler de dahil olmak üzere çeşitli medya biçimlerine adamaktadır. Bununla birlikte, genellikle telif hakkıyla korunan içeriğin korunduğu ve paylaşıldığı, hattı dijital korsanlıkla bulanıklaştırdığı gri bir alanda çalışırlar.
AAPB’nin yayından kaldırma çabalarında bile, istismar çeşitli anlaşmazlık sunucuları ve mesajlaşma uygulamaları üzerinde dolaşmaya devam etti ve bükülme bilgisayarı ile paylaşılan bir kavram kanıtı, kötüye kullanmanın ne kadar kolay olduğunu gösterdi.
BleepingComputer ile paylaşılan istismar, güvensiz bir doğrudan nesne referansı (Idor) kusurunu kullanan ve kullanıcıların AAPB’nin erişim denetimlerine göre medya dosyaları istemelerine olanak tanıyan basit bir TamperMonkey komut dosyasıdır.
Hata, kullanıcıların medya erişim isteklerindeki medya kimliği parametresini değiştirmelerini sağlayarak, korunmuş veya özel olsalar bile, kaynak kaynaklarına kimliğe erişmelerine olanak tanır.
Ana /medya /{Id} sayfalarında bazı erişim kontrolleri olmasına rağmen, saldırganlar arka planda yapılan Getch veya XMLHTTPRequest çağrıları ile kurcalanarak bunları atlayabilirler.
AAPB’nin sunucusu bu istekleri ‘403 Yasak’ hatasıyla reddetmek yerine, istek geçerli bir medya kimliği olduğu sürece içerik sunuldu.
Güvenlik açığı şimdi düzeltilmiş olsa da, veri istifçi topluluğunda ne kadar içeriğe erişildiği ve paylaşıldığı bilinmemektedir.
American Archive’deki içerik sızıntısı, bu yılın başlarında PBS çalışanlarının iletişim bilgilerinin sızdırıldığı ve ‘PBS Kids’ hayranları için anlaşmazlık sunucuları aracılığıyla yayıldığı başka bir olayı izledi.
Her iki olay da arşiv ve fan topluluklarının kötü niyetli amaçlar için kullanılmasa bile hassas veya özel verilere nasıl erişebileceğini göstermektedir.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.