Çinli çevrimiçi hızlı moda perakendecisi SHEIN, uygulamanın periyodik olarak Android cihazlarda pano içeriğine eriştiğini ortaya çıkaran bir raporun ardından tarayıcının altına girdi. Rapor, kullanıcının panosu aracılığıyla SHEIN veri çalma sürecini vurguladı
Microsoft raporuna göre, SHEIN Android uygulamasının eski bir sürümü, Android cihazın pano içeriğine erişerek içeriği okuyabildi.
Ayrıca, SHEIN android uygulaması belirli bir modeli not ettiğinde pano içeriğini uzak bir sunucuya da gönderdi.
Microsoft araştırmacıları, pano verilerini çalma prosedürünün arkasında herhangi bir kötü niyet bulmasalar da, adımın kullanıcıların belirli bir görevi gerçekleştirmesine yardımcı olmadığını belirttiler.
SHEIN’in söz konusu Android uygulaması Google Play Store’da mevcuttur ve 100 milyondan fazla indirilmiştir, bu da şirketin pano davranışı ve uygulamanın oluşturduğu risk hakkında spekülasyonlara yol açmaktadır.
SHEIN Veri Çalma
Siber güvenlik firması Sophos raporunda, SHEIN ve ROMWE’nin sahibi Zoetop’un Android alışveriş uygulamasına bazı ekstra kodlar eklediğini ve bu kodların, uygulamayı bir pazarlama casus yazılım aracına benzer görevler gerçekleştirmesine dönüştürdüğünü belirtti. SHEIN’in 7.9.2 sürümünün 2022’den bu koda sahip olduğu bulundu.
Pano içeriğinin bu şekilde incelenmesine en son Android sürümlerinde izin verilmez ve bu tür bir etkinlik tespit edilirse kullanıcılar uyarılır.
İlginç bir şekilde, Microsoft’un raporu, SHEIN’in kullanıcının panosuna yetkisiz erişimini ortaya çıkardığından beri, uygulama birkaç kez güncellendi.
Google ayrıca, kullanıcıların güvenliği ihlal eden şüpheli araçlara sahip uygulamaları belirlemesine yardımcı olmak için azaltma önlemleri ekledi.
Ayrıca Sophos, Google Play tarafından incelenmiş ve derecelendirilmiş olsa bile kullanıcıları uygulama gizlilik ihlallerine dikkat etmeye çağırdı.
100 milyondan fazla kullanıcının panolarından verilere erişmek, kullanıcının güvenliği ve platformda paylaşılan şifreler, kullanıcı adları ve bağlantılar gibi bilgilerin güvenlik açığı ile ilgili soruları gündeme getiriyor.
SHEIN Veri İhlali, Şirket 1,9 milyon Dolar Para Cezasına çarptırıldı
Ancak bu, moda e-ticaret markasının kullanıcı verilerini yanlış kullanmakla ilk kez suçlanışı değil.
2018’de Zoetop, 39 milyondan fazla SHEIN hesabı kullanıcısının oturum açma bilgilerinin çalındığı bir veri ihlali olayını yanlış idare ettiği için 1,9 milyon dolar (1,69 milyon sterlin) para cezasına çarptırıldı. Bilgisayar korsanları, kredi kartı bilgileri, adlar, e-postalar ve parolalar gibi hassas kullanıcı bilgilerine erişmeyi başardı.
Bir BBC haberine göre şirket, veri ihlalinin ciddiyeti hakkında yalan söylemiş ve olaydan etkilenen kullanıcıların “yalnızca bir kısmını” uyarmıştı.
Rapor, sızdırılan bilgilerin 800.000’den fazla New York kullanıcısını içerdiğini ortaya koydu. Oturum açma kimlik bilgilerini içeren veriler daha sonra karanlık ağda bulundu.