Avusturyalı ‘mobil concierge’ uygulaması Gustaffo, 100 bin müşterinin verilerini sızdırıyor


Gustaffo geçen hafta veri sızıntısı konusunda uyarıldı, ancak şirket yanıt vermedi. Bu arada, yanlış yapılandırılmış veri tabanı her gün yeni ve taze müşteri verileriyle güncelleniyor.

Avusturya, Viyana merkezli dijital konaklama şirketi Gustaffo, 100.000’den fazla müşteri kaydının açığa çıktığı bir veri sızıntısına yakalandı. Veri sızıntısının nedeni, herhangi bir parola veya güvenlik kimlik doğrulaması olmadan halka açık olan yanlış yapılandırılmış veritabanıdır.

Daha da kötüsü, sunucu hala yayında ve bu yazı yazılırken, aşağıdaki bilgiler de dahil olmak üzere müşterilerin yeni ayrıntıları yükleniyordu:

  1. Ad Soyad
  2. cep telefonu numaraları
  3. E-mail adresleri
  4. Rezervasyon detayları
  5. Rezervasyon Bağlantıları ve bilgiler
Avusturyalı 'mobil concierge' uygulaması Gustaffo, 100 bin müşterinin verilerini sızdırıyor
Şu anda sızdırılan ve artan veriler

Peki Gustaffo nedir?

Buna göre basın bülteni, Gustaffo 2016 yılında hizmete girdi ve hizmeti kullanan sekiz ülkede 30 otele sahipti. İlk müşterisi, Avusturya’nın en büyük otel yönetim şirketi olan Vienna House idi.

Gustaffo’ya bir bakış LinkedIn sayfası şirketin nasıl çalıştığını ve hangi hizmetleri sunduğunu açıklar. Şirket, Otellere ve Otel Gruplarına “güvenli” ve temassız Dijital Misafir Yolculuğu sağladığını belirtiyor.

“Çevrimiçi Check-in’den konaklama sırasında mobil uygulama aracılığıyla asansör ve oda erişimi dahil olmak üzere hizmetlere ve ayrıca tüm büyük Mülk Yönetimi ile entegre beyaz etiketli bir mobil uygulama aracılığıyla asla resepsiyona gitmek zorunda kalmadan Ödeme ve Check-Out ile. Şirketin LinkedIn sayfasının Hakkımızda bölümünde, misafirlerinizin kendilerine tahsis edilen odaya normal anahtar kartı yerine mobil uygulama aracılığıyla doğrudan erişebilecekleri sistemler,” diyor.

Gustaffo geçen hafta güvenlik olayı konusunda uyarıldı; ancak, hiçbir şekilde yanıt verilmedi ve şüphelenmeyen müşterilerin kişisel bilgileri riske atıldı. Bu, bağımsız bir güvenlik araştırmacısı tarafından Hackread.com’a ifşa edildi Anurag Şen Vietnamlı bir araştırmacı olan Hieu Minh ile birlikte çalışıyor. Çongluadao.

Araştırmacıların hatalı yapılandırılmış bulut veritabanlarını ararken Shodan’da hatalı yapılandırılmış bulut veritabanını keşfettiklerini belirtmekte fayda var. Bilginize, Shodan bir OSINT aracıdır ve siber güvenlik araştırmacıları tarafından internetteki sunucular ve yanlış yapılandırılmış veritabanları dahil olmak üzere savunmasız Nesnelerin İnterneti (IoT) cihazlarını bulmak için kullanılan özel bir arama motoru.

GDPR Para Cezası

Gustaffo araştırmacılara yanıt vermediğinden ve verileri güvence altına almadığından, şirketin sorundan tamamen habersiz olması muhtemeldir. Genel Veri Koruma Yönetmeliği olarak yalnızca müşteriler için değil, Gustaffo’nun kendisi için de kötü bir haber. (GDPR) doğrudan etkilidir Avusturya da dahil olmak üzere Avrupa Birliği’nin bir parçası olan her ülkede.

Eylül 2021’de Avusturya Veri Koruma Kurumu Veriliş GDPR ihlalleri nedeniyle Avusturya Postasına 9 milyon € (9,6 milyon $) para cezası. Bu para cezası, GDPR kapsamında şimdiye kadar verilen en büyük para cezaları arasındaydı ve yasanın veri gizliliğini ne kadar ciddiye aldığının bir örneği oldu.

Ancak para cezası 2 Aralık 2020’de Federal İdare Mahkemesi tarafından bozuldu. GDPR ve hukukun veri gizliliğini ne kadar ciddiye aldığının bir örneği olarak hizmet etti.

Herhangi bir kötü niyetli aktörün verilere erişip erişmediği belli değilken, araştırmacılar Gustaffo müşterilerini potansiyel tehlikelere karşı tetikte olmaları konusunda uyarıyorlar. kimlik avı girişimleri veya kimlik hırsızlığı dolandırıcılığı.

Yanlış Yapılandırılmış Veritabanları – Gizlilik Tehdidi

Bildiğimiz gibi, yanlış yapılandırılmış veya güvenli olmayan veritabanları, şirketler ve şüphelenmeyen kullanıcılar için büyük bir gizlilik tehdidi haline geldi. 2020’dearaştırmacılar, herhangi bir güvenlik kimlik doğrulaması olmadan 10 milyardan (10.463.315.645) fazla kaydı genel erişime açan 10.000’den fazla güvenli olmayan veritabanı belirledi.

2021’de, açığa çıkan veritabanlarının sayısı 399.200’e yükseldi. 2021’de yanlış yapılandırma nedeniyle en çok veritabanı sızıntısı olan ilk 10 ülke şunları içeriyordu:

  • ABD – 93.685 veritabanı
  • Çin – 54.764 veritabanı
  • Almanya – 11.177 veri tabanı
  • Fransa – 9.723 veritabanı
  • Hindistan – 6.545 veritabanı
  • Singapur – 5.882 veritabanı
  • Hong Kong – 5.563 veritabanı
  • Rusya – 5.493 veritabanı
  • Japonya – 4.427 veritabanı
  • İtalya – 4.242 veritabanı
  1. Sunucu karmaşasında 579 GB kullanıcının web sitesi etkinliği sızdırıldı
  2. Yanlış yapılandırılmış AWS grubu 350 milyon e-posta adresini sızdırdı
  3. Çevrimiçi video akışını açığa çıkaran yanlış yapılandırılmış bebek monitörleri
  4. Microsoft Power uygulamalarının hatalı yapılandırması 38 milyon kaydı sızdırdı
  5. Yanlış yapılandırılmış yedekleme, 50,5 milyon GOMO Mobile kullanıcı verisini sızdırdı





Source link