Melbourne merkezli seyahat acentesi Inspiring Vacations, kimlik doğrulama veya şifre gibi herhangi bir güvenlik önleminden yoksun, 26,8 GB’lık devasa bir veritabanını halka açık bıraktı.
Melbourne merkezli bir seyahat acentesindeki veri sızıntısı, binlerce turistin kişisel bilgilerinin açığa çıkmasına neden oldu ve seyahat endüstrisinde çevrimiçi güvenlik ve mahremiyet konusunda endişeleri artırdı.
Sızıntı, siber güvenlik araştırmacısı Jeremiah Fowler tarafından keşfedildi ve WebsitePlanet’e bildirildi. Fowler, 26,8 GB’ı kapsayan ve Avustralya seyahat acentesi Inspiring Vacations’a ait olan 112.605 kayıt içeren, kamuya açık bir veritabanına rastladı.
Açığa çıkan veriler arasında yüksek çözünürlüklü pasaport resimleri, seyahat vizesi sertifikaları ve seyahat planı veya bilet dosyaları yer alıyor. Kayıtlardaki kişilerin çoğu Avustralya vatandaşıydı ancak Yeni Zelanda, Birleşik Krallık ve İrlanda’ya ait kimlik belgeleri de bulundu.
Etkilenen pasaportların sayısı belirsiz ancak sınırlı bir örnekte yaklaşık 1.000 kimlik belgesi bulundu; diğer dosyalarda müşterilerin pasaport numaraları ve diğer kişisel kimlik bilgileri (PII) ayrıntılı olarak yer alıyordu. Dosya adları, kişinin adını düz metin olarak içerecek şekilde yapılandırılmıştır.
Veritabanı, 48 Excel elektronik tablosunda yer alan adlar, e-posta adresleri, yolculuk maliyetleri ve varış noktaları dahil olmak üzere 13.684 müşteriye ait verileri depoladı. Ayrıca, bazıları kısmi kredi kartı numaralarını gösteren 24.000 seyahat planı ve e-bilet belgesini ve ortaklara ve bağlı kuruluşlara gönderilen 17.000 vergi faturası da dahil olmak üzere şirket içi belgeleri içeriyordu.
Veritabanı bilinmeyen bir süre boyunca tespit edilmeden kaldı ve potansiyel olarak etkilenen turistleri/bireyleri risk altına soktu. kimlik Hırsızı, dolandırıcılık ve diğer siber suçlar. Daha da kötüsü, siber suçluların kimlik hırsızlığı, dolandırıcılık ve diğer siber suçlar için de kullanabileceği bir özgeçmiş veya özgeçmiş klasörü içermesiydi. Kimlik avı e-postaları, gerçek olamayacak kadar iyi seyahat fırsatları aracılığıyla kullanıcıları kandırarak finansal bilgiler gibi hassas verileri açığa çıkarabilir.
Ayrıca Siber suçlular, adayları sahte iş fırsatlarıyla kandırmak ve istihdam işlemleri veya özgeçmiş kontrolleri için ücret olarak ön ödeme talep etmek için özgeçmiş bilgilerini kullanabilir.
Ayrıca pasaport verileri kimlik hırsızlığı için de kullanılabilir; suçluların hesap açmasına, kredi kartı başvurusu yapmasına veya mağdurların adına dolandırıcılık faaliyetleri yürütmesine olanak sağlanır. Sahte kimlik belgeleri kullanılabilir KYC uyumluluk gereklilikleri ve gasp planları gibi yasa dışı faaliyetler.
Bilet bilgileri, siber suçluların sosyal mühendislik tekniklerini kullanarak yararlanabileceği kısmi ödeme ayrıntıları içerebilir. Açığa çıkan e-posta adresleri kimlik avı ve kötü amaçlı yazılım dağıtımı için de risk teşkil edebilir.
Fowler, konuyu sorumlu bir şekilde Inspiring Vacations’a açıkladı ve şirket o zamandan beri veri tabanını güvence altına aldı. Şu ana kadar yetkisiz erişim veya şüpheli faaliyete dair herhangi bir belirti bulunmuyor. Bir iç adli denetim bunu tespit edecektir. Uzmanlar, seyahat edenlerin kişisel bilgilerini seyahat acenteleriyle paylaşma konusunda dikkatli olmalarını tavsiye ediyor.
Maruz kalma sonrası standart güvenlik uygulamaları, kredi kartı ekstrelerinin yetkisiz faaliyetlere karşı düzenli olarak kontrol edilmesini ve sahtekarlığa karşı koruma hizmetlerinin tercih edilmesini içerir.
Kimlik belgelerini toplayan ve saklayan işletmeler, veri güvenliği önlemlerini geliştirmeli, kapsamlı denetimler yapmalı, hassas bilgileri şifrelemeli ve sağlam siber güvenlik protokolleri uygulamalıdır. Şirketler ayrıca hassas müşteri kayıtlarını silebilir veya bir zaman sınırı ve son kullanma tarihi belirleyebilir.
İLGİLİ MAKALELER
- Uluslararası Köpek Yetiştiriciliği Örgütü WALA, 25 GB’lık Evcil Hayvan Sahibi Verilerini Açıkladı
- Avustralya’nın en büyük 2. telekom firmasının ihlalinde kullanıcı verileri açığa çıktı
- Veri Sızıntısı Kylie Jenner’ın da Dahil Olduğu 1,5 Milyar Emlak Kaydını Ortaya Çıkardı
- Texas Okul Güvenliği Yazılımı Veri Sızıntısı Öğrenci Güvenliğini Tehlikeye Atıyor
- Avustralya Savunma Kuvvetleri İletişim Hizmeti Fidye Yazılımı Saldırısına Uğradı