Japon elektronik üreticisi Casio, bilgisayar korsanlarının ClassPad eğitim platformunun sunucularına erişmesinin ardından 149 ülkeden müşterileri etkileyen bir veri ihlali olduğunu açıkladı.
Casio, olayı şirketin geliştirme ortamındaki ClassPad veri tabanının arızalanmasının ardından 11 Ekim Çarşamba günü tespit etti. Kanıtlar, saldırganın bir gün sonra, yani 12 Ekim’de müşterilerin kişisel bilgilerine eriştiğini gösteriyor.
Açığa çıkan veriler arasında müşteri adları, e-posta adresleri, ikamet edilen ülkeler, hizmet kullanım ayrıntıları ve ödeme yöntemleri, lisans kodları ve sipariş ayrıntıları gibi satın alma bilgileri yer alıyor.
Casio, kredi kartı bilgilerinin ele geçirilen veritabanında saklanmadığını söylüyor.
Saldırganlar, 18 Ekim itibarıyla Japon müşterilere ait 91.921 öğeye (bireyler ve 1.108 eğitim kurumu müşterisi dahil) ve Japonya dışındaki 148 ülke ve bölgeden müşterilere ait 35.049 kayda erişti.
Şirket, “Şu anda, geliştirme ortamındaki bazı ağ güvenliği ayarlarının, sorumlu departmanın sistemdeki operasyonel hatası ve yetersiz operasyonel yönetim nedeniyle devre dışı bırakıldığı doğrulandı” dedi.
“Casio, harici bir tarafın yetkisiz erişim elde etmesine izin veren durumun nedenlerinin bunlar olduğuna inanıyor.”
ClassPad hâlâ çevrimiçi, önceki ihlal iddiaları
Güvenliği ihlal edilen veritabanı şu anda “harici varlıklar tarafından erişilemez” olsa da, ClassPad.net uygulaması çalışmaya devam ediyor. Casio, bilgisayar korsanlarının geliştirme ortamında ele geçirilen veritabanının ötesindeki sistemlere sızmadıklarını açıkladı.
16 Ekim Pazartesi günü Casio, olayı Japonya’nın Kişisel Bilgilerin Korunması Komisyonu’na bildirdi ve kolluk kuvvetleriyle işbirliği yaparak ihlal soruşturmalarına yardımcı oluyor.
Ek olarak Casio, olayın altında yatan nedenleri bulmak ve ihlale yanıt olarak karşı önlemleri hazırlamak amacıyla dahili bir soruşturma yürütmek üzere harici siber güvenlik ve adli tıp uzmanlarıyla birlikte çalışıyor.
Ağustos ayı başlarında, bir tehdit aktörü (thrax olarak biliniyor), BreachForums siber suç forumunda 1,2 milyondan fazla kullanıcı kaydının sızdırıldığını ve iddiaya göre eski casio.com veritabanlarına sahip bir Uzak Masaüstü Hizmetleri (RDS) sunucusundan çalındığını iddia etti.
Çalındığı iddia edilen bilgiler Temmuz 2011’e kadar olan girişleri, AWS anahtarlarını ve veritabanı kimlik bilgilerini içeriyor.
“Bu DB çok eski ama ister inanın ister inanmayın, bu bugün canlı bir RDS sunucusundan atıldı. Birisi AWS anahtarlarını (oldukça ilginç izinler, S3 klasör erişimi vb. ile birlikte) ve veritabanı kimlik bilgilerini vb. istiyorsa ., DM bana” dedi tehdit aktörü.
“AWS anahtarlarını verdiğim bir kullanıcı başka bir veritabanı bulmayı başardı. Bu veritabanını inceledikten sonra referans alabildiğim en yeni tarih, başka bir eski veritabanı olan Ocak 2006’ydı.”
Ekim olayıyla ilgili ek ayrıntılar sağlamak ve Thrax’in iddialarını doğrulamak için bugün erken saatlerde BleepingComputer ile iletişime geçtiğinde bir Casio sözcüsü yorum yapmak için hemen müsait değildi.