Temsilciler Meclisi Demokratlarının Resmi Çevrimiçi Özgeçmiş Bankası’na ait güvenli olmayan bir çevrimiçi veri tabanı nedeniyle Capitol Hill’de iş arayan binlerce Amerikalının kişisel bilgileri kamuya açık hale getirildi. DomeWatch.us.
Güvenlik açığı, araştırma şirketi Safety Detectives tarafından, isimsiz bir siber güvenlik araştırmacısının, başvuru sahiplerinin 7.000’den fazla kaydını içeren “şifrelenmemiş ve parola korumalı olmayan bir veritabanı” hakkında kendilerine rapor vermesinin ardından gün ışığına çıkarıldı.
Risk Altındaki Hassas Bilgiler
27 Ekim 2025’te bildirilen ihlal, Demokrat Üyelerin ofisleri ve komitelerinde iş, staj veya burs başvurusunda bulunan kişilere ilişkin rahatsız edici miktarda veriyi ortaya çıkardı.
Açığa çıkan veriler arasında isimler, telefon numaraları, e-posta adresleri ve hatta güvenlik izni durumu veya seviyesi gibi Kişisel Tanımlayıcı Bilgiler (PII) yer alır ve bu da dolandırıcılık ve hedefli saldırı riskini önemli ölçüde artırır. Daha ayrıntılı inceleme, kayıtların aynı zamanda başvuranın siyasi parti üyeliğini, memleketini, askerlik hizmetini ve “biyolojik veya kongre deneyimini” de içerdiğini ortaya çıkardı.
Ayrıca veri tabanında “çok gizli” federal güvenlik iznine sahip 469 kişiyi gösteren alanlar yer alıyordu. Siyasi verilerin analizi açık bir çoğunluk gösterdi; 6.300 kişi Demokrat Parti’yi listelerken, yalnızca 17 kişi Cumhuriyetçi Parti’yi ve 265 kişi Bağımsız veya Diğer’i listeledi.
Açığa çıkan veriler aynı zamanda Google formlarına ve diğer paylaşılan belgelere yönlendiren web bağlantılarını da içeriyordu. İlginçtir ki çoğu kayıtta 2024-2025 yılları arasında zaman damgaları vardı. Bu kafa karıştırıcı çünkü DomeWatch web sitesi özgeçmişlerin arşivlenmeden önce yalnızca 90 gün saklandığını belirtiyor.
Kayıtların veritabanında nasıl göründüğünü gösteren ekran görüntüsü. (İmaj kredisi: Güvenlik Dedektifleri)
API belirteçleri gibi korumalı verilerin şifresini çözmek için kullanılabilecek, “ana anahtar” olarak işaretlenmiş bir dosya. (İmaj kredisi: Güvenlik Dedektifleri)
Hızlı Eylem ve Gelecek Kaygıları
Safety Detective’in blog gönderisine göre verilerin ifşa edilmesi, Safety Detectives ekibi tarafından alan adının kayıt ve teknik irtibat kişilerinin dikkatine sunuldu ve aynı gün veritabanına halkın erişimi kısıtlandı. Kişiler kısa bir mesajla yanıt verdi: “İşaretlediğiniz için teşekkürler.”
Yine de bu tür bir maruziyet ciddi bir tehdit oluşturmaktadır. Etkilenen bireylerin çoğu orduda veya hükümette deneyime sahip olduğundan, bu ayrıntılı bilgileri kimliğe bürünme veya son derece spesifik kimlik avı dolandırıcılıkları gibi çok çeşitli tehditler için kullanan suçluların hedefi haline gelebilirler.
Zaten bildiğimiz gibi, derin sahte ses oluşturucular gibi yapay zeka destekli araçların yükselişiyle birlikte suçlular bu kişisel verileri sosyal mühendislik saldırıları için kullanabilir ve hükümet sistemlerine erişimi olan kişileri kolayca kandırabilir.
Hackread.com ile paylaşılan araştırma, DomeWatch’un herhangi bir yanlış yaptığını ima etmiyordu ancak daha iyi veri koruma ihtiyacı konusunda kamuoyunu bilinçlendirmek için yayınlandı.