Birleşik Krallık’ta yalnızca üyelere açık bir kulüp olan Total Fitness’ta yakın zamanda ortaya çıkan KYC (Müşterinizi Tanıyın) verileri, üyelerinin kişisel bilgilerinin çevrimiçi ortamda açığa çıkmasına neden oldu. Bu, siber güvenlik araştırmacısı Jeremiah Fowler tarafından ortaya çıkarıldı. yanlış yapılandırılmış veritabanı yalnızca kişisel ayrıntıları değil, herhangi bir parola veya güvenlik kimlik doğrulamasıyla halka açık olarak indirilebilecek üye ve personel fotoğraflarını da içeriyordu.
Bilginize, Toplam Fitness Kuzey İngiltere ve Galler’de 15 lokasyona sahip bir sağlık kulüpleri zinciridir. Fowler’ın vpnMentor tarafından yayınlanan ve yalnızca Hackread.com ile paylaşılan araştırmasına göre, veritabanında yarım milyon (474.651) görüntü bulunurken, spor salonu çalışanlarının, üyelerin ve çocukların yüz görüntüleri de dahil olmak üzere tüm veri kümesi 47,7 GB’ın üzerinde veri değerindeydi.
Üyelik işlemleri sırasında personel tarafından bazı görüntüler çekildi ve arka planda Total Fitness logosu görüldü. Resimlerin çoğu üyeler veya ebeveynleri/vasileri tarafından bizzat gönderildi. Ayrıca aşağıdakiler gibi son derece hassas bilgiler içeren belgeler de vardı:
- Tam isimler
- Faturalar
- Kredi kartları
- Telefon numaraları
- E-mail adresleri
- Ev adresleri
- Çalışanların göçmenlik ayrıntılarını içeren pasaportlar
Fowler, Total Fitness’in çevrimiçi üye portalından mı yoksa Total Fitness mobil uygulamasından mı alındığı, veritabanının ne kadar süre boyunca kamuya açık olduğu veya kötü niyetli başka birinin erişim sağlayıp sağlamadığı gibi, kaç adet görselin hassas veri içerdiğinin belirsiz olduğunu iddia ediyor.
Total Fitness şu anda tüm üye görsellerinin tam denetimini yürütüyor, görselleri tespit edilen tüm üyelerle iletişime geçiyor ve onları kaldırıyor. Ayrıca Birleşik Krallık’ın veri koruma düzenleyicisi olan Bilgi Komiseri Ofisi’ne (ICO) bilgi verdiler ve ilgili soruşturmalarda işbirliği yapacaklar.
Fowler, “Bir kuruluş bir veri olayı yaşadığında ve sorunu kamuya açık bir şekilde ele almak ve potansiyel olarak etkilenen bireyleri bilgilendirmek için uygun adımları attığında profesyonellik ve sorumluluk gösterir” dedi. rapor.
Ancak bu tür veri sızıntılarının potansiyel sonuçları çok büyük olabilir. Yapay zeka ve yüz tanıma teknolojisi, bireyleri resimlere göre tanımlamayı kolaylaştırdı. Fowler, açık kaynaklı bir ters görsel arama aracı kullanarak sınırlı sayıda görsel örneğini analiz etti ve profil resimlerine göre birkaç üyeyi tanımlayabildi.
Bu tür olaylar aynı zamanda şirketlerin müşterilerin resimlerini nasıl toplayıp sakladıkları ve bunlara kimin erişebileceği konusunda gizlilik endişelerini de artırıyor. Total Fitness, gelecekte benzer olayları önlemek için veri güvenliği uygulamalarını gözden geçirmeli ve geliştirmelidir.
Üyeler ayrıca, oturum açma kimlik bilgilerini güncellemek, hesapları şüpheli etkinliklere karşı izlemek ve olası kimlik avı girişimlerine karşı dikkatli olmak dahil olmak üzere verilerini korumak için proaktif önlemler almalıdır.
İLGİLİ KONULAR
- Veri Sızıntısı İş Liderlerini ve En Ünlülerin Verilerini Açığa Çıkardı
- Bilgisayar korsanları LinkedIn Aracılığıyla Birleşik Krallık’ın Nükleer Atık Hizmetlerine Saldırıyor
- Veri Sızıntısı Hindistan Polisinin ve Askeri Biyometrik Verilerin 500 GB’ını Ortaya Çıkardı
- İngiltere’nin Büyük Güvenlik Sağlayıcısı Güvenlik ve Şüpheli Verilerini Sızdırdı
- Okul Yazılım Sunucusu Sızıntısında Birleşik Krallık’taki Öğrenci Kayıtları Ortaya Çıktı
- ABD fitness zincirinin 600.000 müşterisinin kişisel verileri internette açığa çıktı