Cybernews araştırma ekibi, görüntülü görüşme uygulaması Huddle01’in korumasız bir Kafka komisyoncusu aracılığıyla e-posta adreslerini, gerçek adları ve diğer tanımlayıcıları açığa çıkardığını buldu.
Korumasız bir Kafka komisyoncusunu, gizli postaları saklayan ve dağıtan bir postane gibi düşünün. Şimdi, yöneticinin ön kapıları hiçbir kilit, koruma veya kimlik kontrolü olmadan tamamen açık bıraktığını hayal edin. Herkes içeri girebilir, özel mektuplara ve fotoğraflara bakabilir ve gözüne çarpan her şeyi alabilir.
Huddle01, merkezi olmayan Web Gerçek Zamanlı İletişimine (WebRTC) odaklanan bir görüntülü arama uygulamasıdır. WebRTC, insanların merkezi bir sunucu kullanmadan doğrudan cihazlar arasında konuşabilmesine ve veri paylaşabilmesine olanak tanıdığı için ilgi çekicidir. Doğru yapıldığında bu gecikmeyi azaltabilir, maliyetleri azaltabilir ve gizliliği iyileştirebilir.
Ancak Kafka komisyoncunuzu tesadüfen karşılaşan herkese açık bırakmak, “gizliliği doğru yapmak” olarak nitelendirilmez. Kafka aracısı, kimlik doğrulama veya şifreleme olmadan çalışıyordu; bu, yazma erişimi varsa herkesin verileri dinleyebileceği, günlükleri toplayabileceği veya potansiyel olarak verileri değiştirebileceği anlamına geliyordu. Bu, hem kullanıcıları hem de platformu riske atan temel bir yanlış yapılandırmayı gösteriyor.
Kafka örneği, son 13 güne ait, Huddle01’e ait 621.000’den fazla günlük girişi içeriyordu:
- Kullanıcı adları (bazen gerçek adlar)
- E-posta adresleri
- Kripto cüzdan adresleri (Huddle01, Bitcoin ve Ethereum gibi blok zincirlerdeki birçok cüzdanı destekler)
- Belirli çağrılara hangi kullanıcıların katıldığı, her çağrıdaki katılımcılar, ülke, saat, tarih ve süre gibi ayrıntılı etkinlik verileri
- Diğer tanımlayıcılar
Uygulama, kripto para birimi kullanıcıları arasında popüler ancak bu durumda açık Kafka örneği, kripto cüzdanlarını kullanıcı adlarına ve e-posta adreslerine bağlayarak cüzdanlarının anonimliğini kaldırmış olabilir. Bu aynı zamanda potansiyel olarak yüksek değerli hedefler olarak sırtlarına bir hedef çiziyor.
Saldırganlar gerçek adları ve toplantı verilerini kullanarak güvenilir e-postalar veya mesajlar oluşturabildiğinden, kullanıcıları sosyal mühendisliğe karşı daha savunmasız hale getirir.
Ve en kötü kısmı için bekle. Cybernews, Huddle01’in arkasındaki şirkete veri sızıntısını sorumlu bir şekilde açıkladığını belirtiyor…
“Ancak, ilk açıklamaya ve sonraki girişimlere yanıt vermedi. Bir ay sonra, açığa çıkan sunucu erişilebilir kaldı. Başka kaç üçüncü tarafın verilere erişmiş olabileceği belli değil.”
Etkilenen kullanıcılar için güvenlik ipuçları
Açığa çıkan bilgilerin yaklaşık iki hafta öncesine ait olduğunu bilmenin pek bir faydası yok, çünkü erişimi olan herkes bir veri toplayıcı kurarak gerçek zamanlı veri akışını ve devam eden işlemeyi dinleyebilir.
Bu nedenle, herhangi bir Huddle01 kullanıcısı şunları yapmalıdır:
- Açığa çıkan e-posta veya kullanıcı adına bağlı hesapların şifrelerini değiştirin ve her site için güçlü, benzersiz şifreler kullanın.
- Yetkisiz erişimi önlemek için mümkün olan her yerde iki faktörlü kimlik doğrulamayı (2FA) ayarlayın.
- Şüpheli iletiler için gelen kutularını izleyin. Hedefli kimlik avı olasılığı mevcut olduğundan, kripto işlemleri veya hassas bilgiler isteyen e-postalara veya metinlere karşı ekstra dikkatli olun. Kiminle konuştuğunuz veya toplantıların ne zaman gerçekleştiği gibi toplantı günlüklerindeki ayrıntılara referans veren sosyal mühendislik girişimlerine karşı özellikle dikkatli olun.
- Daha sonra daha fazla rehberlik sunabilecekleri için Huddle01’in resmi açıklamalarından veya haberlerden haberdar olun.
Bir ipucu için: Bunun gibi şüpheli mesajları, bilinen dolandırıcılıkları anında işaretleyen Malwarebytes Scam Guard’a gönderebileceğinizi biliyor muydunuz?
Yalnızca dolandırıcılıkları rapor etmiyoruz; bunların tespit edilmesine yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Bir şey size tehlikeli görünüyorsa, mobil koruma ürünlerimizin bir özelliği olan Malwarebytes Scam Guard’ı kullanarak bunun bir dolandırıcılık olup olmadığını kontrol edin. Bir ekran görüntüsü gönderin, şüpheli içerik yapıştırın veya bir mesaj veya telefon numarası paylaşın; bunun bir dolandırıcılık mı yoksa yasal mı olduğunu size söyleyelim. iOS veya Android için Malwarebytes Mobile Security’yi indirin ve bugün deneyin!