Gerçekten Basit Sistemler, veritabanını herhangi bir şifre veya güvenlik kimlik doğrulaması olmadan halka açık hale getirdi.
ÖNEMLİ BULGULAR
- Siber güvenlik araştırmacısı Jeremiah Fowler,real Simple Systems’e ait korumasız bir veritabanı keşfetti.
- Veritabanında 3 milyonun üzerinde kayıt bulunuyordu ve bu durum, Gerçekten Basit Sistemler ile ilişkili sayısız şirket ve müşteriyi çeşitli çevrimiçi tehditlere karşı savunmasız hale getiriyordu.
- Etkilenen işletmelerin çoğu Birleşik Krallık, ABD, AB ve Avustralya’da bulunuyor.
- Açığa çıkan veriler arasında tıbbi kayıtlar, kredi raporları, kimlik belgeleri, vergi belgeleri, yasal belgeler vb. yer alır.
Küresel bir CRM (müşteri ilişkileri yönetimi) sistemleri sağlayıcısı olan Gerçekten Basit Sistemler, 3 milyondan fazla müşteri kaydının herhangi bir şifre veya güvenlik doğrulaması olmaksızın kamuya açıklandığı bir veri güvenliği olayına maruz kaldı.
Bu kayıtlar, vpnMentor’dan siber güvenlik araştırmacısı Jeremiah Fowler tarafından keşfedilen korumasız bir veritabanında saklanıyordu.
Fowler’ın sınırlı örnekleme erişimi vardı, bu da farklı sektörlerden/büyüklüklerden kuruluşlara ait çok çeşitli belgelerin sızdırılan veritabanının parçası olduğunu gösteriyordu. Çoğu, AB ülkeleri, ABD, Birleşik Krallık ve Avustralya’da bulunan tanınmış, yüksek profilli kuruluşlardı.
Fowler, açığa çıkan kayıtların çoğunun PII verilerinin (kişisel olarak tanımlanabilir bilgiler) ifşa edilmesi açısından ‘son derece hassas’ olarak kabul edilebileceğini yazdı. Bu kayıtlar internet bağlantısı olan her kullanıcının erişimine açıktı.
Açığa çıkan veriler arasında dahili iletişim/fatura kayıtları ve adlar, telefon numaraları, adresler, e-posta kimlikleri ve ödeme bilgileri gibi değerli kullanıcı verilerini içeren müşterilerin CRM dosyaları yer alıyor.
Daha ileri araştırmalar, veri tabanının aynı zamanda tıbbi kayıtları, emlak sözleşmelerini, kimlik belgelerini, kredi raporlarını, engellilik iddialarını, vergi/yasal belgeleri ve gizlilik sözleşmelerini de içerdiğini ortaya çıkardı.
Belgelerin çoğunda Sosyal Güvenlik Numaraları ve vergi kimlik numaraları bulunuyordu. Müşteri klasörlerinden birinde geniş bir gizli çocuk psikolojik değerlendirme dosyası koleksiyonu vardı.
Ayrıca, Gerçekten Basit Sistemler’e ait birçok dahili belge şablonu veri tabanının bir parçasıydı ve faturalandırma verilerini, e-postaları, faturaları, hizmet sözleşmelerini vb. içeriyordu. Klasörlerden biri, okul yönetimi hizmetleri sunan yönetilen bir eğitim platformuna aitti.
Fowler’ın raporuna göre, veritabanını keşfettikten sonra sorumlu bir açıklama bildirimi gönderdi. Okul yönetim hizmetinin klasörü aynı gün genel erişimden kaldırılırken, diğer klasörler birkaç gün daha çevrimiçi olarak erişilebilir durumda kaldı. Fowler daha sonra CRM çözümleri sağlayıcısına bir takip e-postası gönderdi ve buna yanıt olarak şirket şunu belirtti:
“29 Ağustos Salı günü itibarıyla, CRM Başarı Ekibi olarak şunu anladık: Önümüzdeki birkaç gün içinde daha fazla çözüm sağlamak için daha fazla ayar değişikliği/kod değişikliği uygulanacaktır. İlgili şirket yöneticileri ve GDPR görevlileri, geliştirme müdürü tarafından bilgilendirildi”.
Gerçek Basit Sebep
Bu veri tabanının ne kadar süre açıkta kaldığı veya şirket erişimi kısıtlamadan önce birisinin bu veri tabanına erişip erişmediği konusunda netlik yok.
Gerçekten Simple Systems, gelecekte bu tür olayların önlenmesi için bir soruşturma başlattı ve güvenlik mekanizmalarını iyileştirdi. Etkilenen müşterilere bilgi verildi ve kredi raporlarını izlemeleri ve şifrelerini değiştirmeleri istendi.