Büyük bir veritabanı yanlış yapılandırması ServiceBridge müşterilerine ait milyonlarca hassas kaydı ifşa etti. Bu veri ifşasının riskleri ve sonuçları ve işletmelerin kendilerini benzer olaylardan nasıl koruyabilecekleri hakkında bilgi edinin.
Siber güvenlik araştırmacısı Jeremiah Fowler, ABD’nin Illinois eyaletine bağlı Chicago kentinde bulunan popüler bir saha hizmeti yönetim platformu olan ServiceBridge’i etkileyen büyük bir bulut sunucusu yanlış yapılandırmasını ortaya çıkardı.
Fowler’ın araştırması, 31 milyondan fazla kayıt veya 2,68 TB veri içeren ve çevrimiçi olarak ifşa edilen bir veritabanını ortaya çıkardı ve ServiceBridge’in müşterilerine ait hassas bilgileri açığa çıkardı.
Daha da kötüsü, veritabanı herhangi bir parola veya güvenlik doğrulaması olmadan kamu erişimine açıktı. Açığa çıkan veriler arasında adlar, adresler, e-posta adresleri, telefon numaraları ve hatta kısmi kredi kartı verileri gibi hassas bilgiler vardı. Ek olarak, kişisel sağlık bilgilerini ortaya çıkaran HIPAA hasta onay formları ve tıbbi ekipman anlaşmaları bulundu.
Belgeler 2012’ye dayanıyor ve özel ev sahipleri, okullar, dini kurumlar, zincir restoranlar, LA kumarhaneleri, tıbbi hizmet sağlayıcıları ve daha fazlası dahil olmak üzere çeşitli işletmelere aitti. Sayıları yaklaşık 31.524.107 olan dosyalar PDF ve .htm formatlarındaydı ve sözleşmeler, iş emirleri, faturalar, teklifler, incelemeler ve tamamlama anlaşmaları içeriyordu.
Fowler, Pazartesi günü yayınlanmasından önce Hackread.com ile paylaştığı raporunda, “İncelediğim sınırlı belge örnekleminde çoğunluğun ABD merkezli olduğu görüldü, ancak Kanada, İngiltere ve çok sayıda Avrupa ülkesinden de işletmeler ve müşteriler gördüm” dedi.
Şirkete bildirildiğinde, veritabanı kamuya açık erişimden kısıtlandı. Ancak, ne kadar süre açık kaldığı veya başka birinin erişim elde edip etmediği belirsiz. Ayrıca, ServiceBridge veya üçüncü bir taraf tarafından yönetilip yönetilmediği de belirsiz. Bazı dosyaların GPS Insight logosuyla işaretlendiği ancak filo yönetimi belgelerinin bulunmadığını belirtmekte fayda var.
Bu ifşa, hem işletmeden müşteriye (B2C) hem de işletmeden işletmeye (B2B) işlemleri etkileyen ve işletmeler için önemli kayıplara yol açabilen fatura dolandırıcılığını da içeren potansiyel riskler nedeniyle güvenlik ve gizlilik endişelerini gündeme getiriyor.
2022 raporuna göre, ortalama bir ABD şirketi fatura düzenleri ve ödeme dolandırıcılığı nedeniyle yılda 300.000 dolar kaybederken, büyük şirketlerin %52’si 2023’te bu tür dolandırıcılıklarla karşılaştı. Açığa çıkan kişisel bilgiler kimlik hırsızlığı için kullanılabilir ve bu da mali kayba ve itibar kaybına yol açabilir.
Fowler, işletmelerin/mülklerin iç ve dış mekanlarının görüntülerini sunan “site denetim raporları” buldu. Ek olarak, veritabanı, mülkler ve işletmeler için kapı kodları ve erişim bilgileri gibi fiziksel güvenliği tehlikeye atabilecek belgeleri ifşa etti.
Olay, şifreleme, erişim kontrolleri ve düzenli güvenlik denetimleri de dahil olmak üzere sağlam veri güvenliği önlemlerinin önemini vurgulamaktadır. Hassas iş bilgileri sağlayıcısı olarak ServiceBridge, müşterilerinin verilerinin korunmasını sağlama sorumluluğuna sahiptir.
İLGİLİ KONULAR
- Veri Sızıntısı İş Liderlerini ve Ünlülerin Verilerini Açığa Çıkardı
- Güvenli Olmayan Veritabanı 39 Milyon Hassas Hukuki Kaydı Açığa Çıkardı
- Milyonlarca ABD Seçmen Verisi 13 Yanlış Yapılandırılmış Veritabanında Açığa Çıktı
- Meksika’nın En Büyük ERP Sağlayıcısı ClickBalance 769 Milyon Kaydı Açığa Çıkardı
- Veritabanı Karmaşası: Avustralyalı Gıda Devi Patties Foods Veri Hazinesini Sızdırdı