Kamuya açık bir veritabanı, yüz binlerce kişinin hassas bilgilerini olası kötüye kullanıma açık hale getirdi.
Parola veya şifrelemeyle korunmayan veritabanı, toplam 713,1 GB büyüklüğünde 644.869 PDF dosyası içeriyordu ve kişisel bilgilerden oluşan bir hazineyi ortaya çıkardı.
Çoğunlukla “geçmiş kontrolleri” olarak etiketlenen veriler, tam adlar, ev adresleri, telefon numaraları, e-posta adresleri, iş ayrıntıları, aile bağlantıları, sosyal medya hesapları ve sabıka geçmişi gibi çok çeşitli kişisel bilgileri (PII) içeriyordu.
Bu endişe verici ifşanın kökeni, çeşitli bilgi hizmetleri sağlayan yaklaşık 16 web sitesinden oluşan bir ağı işleten SL Data Services, LLC’ye kadar uzanıyor.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Bunlar arasında emlak ve gayrimenkul araştırma verileriyle tanınan Propertyrec öne çıkıyor.
İhlal, yalnızca sağlam güvenlik önlemlerinin eksikliğini göstermekle kalmıyor, aynı zamanda ciddi gizlilik endişelerini de beraberinde getiriyor; çünkü sızdırılan bilgiler hedefli kimlik avı girişimleri, sosyal mühendislik saldırıları ve hatta kimlik hırsızlığı için potansiyel olarak kullanılabilir.
Keşif, derhal sorumlu bir açıklama bildirimi gönderen bağımsız bir güvenlik araştırmacısı tarafından yapıldı.
Buna rağmen veritabanına halkın erişiminin kısıtlanması bir haftadan fazla sürdü ve bu süre zarfında belge sayısı 513.876’dan 664.934’e çıktı.
SL Data Services ve Propertyrec, açıklama bildirimine veya yayınlanmadan önce sonraki sorulara yanıt vermediğinden, veritabanının doğrudan kendileri tarafından mı yoksa üçüncü taraf bir yüklenici tarafından mı yönetildiği belirsiz kaldı.
Hassas Kayıtlar Açığa Çıktı
USA Today’e göre Propertyrec, Amerika Birleşik Devletleri’ndeki milyonlarca kamu ve özel mülkiyet kaydına erişim sağlamasıyla tanınıyor.
Ancak Website Planet tarafından hazırlanan bir rapora göre müşteri hizmetleri, şirketin sunduğu hizmetlerin kriminal kontrolleri, DMV kayıtlarını ve hatta ölüm ve doğum kayıtlarını da kapsadığını doğruladı.
Tartışmayı daha da artıran müşteri incelemeleri, kullanıcıların çoğunlukla istemeden bir abonelik hizmetine kaydolduklarını ve tek seferlik ödeme yerine yinelenen ücretlerle karşı karşıya kaldıklarını ileri sürüyor.
Açığa çıkan geçmiş kontrolleri muhtemelen ilgili kişilerin bilgisi veya rızası olmadan gerçekleşti ve bu da istismar potansiyelini artırdı.
ABD’de mahkeme kayıtları ve cinsel suçluların durumları halka açık olsa da, bu verilerin diğer hassas bilgilerle birleştirilmesi, kötü niyetli aktörlerin kötü amaçlar için kapsamlı profiller oluşturmasına olanak tanıyabilir.
Bu ihlal, benzer güvenlik açıklarının bilgisayar korsanlarının çalınan kişisel bilgilerin karanlık ağda reklamını yapmasına yol açtığı Ağustos 2024 Ulusal Kamu Veri olayını hatırlatıyor.
Önemli ihlallerin devam etme riski göz önüne alındığında, uzmanlar şirketleri isimler veya kişisel bilgiler yerine şifrelenmiş, rastgele dosya tanımlayıcıları kullanmak gibi daha katı veri koruma önlemleri almaya çağırıyor.
Keşfin arkasındaki etik araştırmacı, eylemlerinin yalnızca güvenlik açıklarını vurgulamayı ve düzeltici önlemleri teşvik etmeyi amaçladığını vurguladı.
Güvenlik bilincinin öneminin ve özel verileri korumak için bağımsız değerlendirmelerin gerekliliğinin altını çizerek her türlü yetkisiz faaliyetten kaçındılar.
Olay, siber güvenliğin kritik öneminin açık bir hatırlatıcısı olarak hizmet ediyor ve hassas bilgilerle ilgilenen tüm kuruluşları savunmalarını güçlendirmeye ve gelecekteki ihlalleri önlemeye teşvik ediyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın