Hello Spor Salonu tarafından yönetilen teminatsız bir veritabanı, spor salonu üyelerinin 1.6 milyondan fazla ses kaydını ortaya çıkardı. Bu veri sızıntısının neden müşterileri mızrak avlama, derin yapraklar ve kimlik hırsızlığına karşı savunmasız bıraktığını öğrenin.
Bir veri maruz kalma olayı, fitness endüstrisine teknoloji hizmetleri sağlayan Minnesota merkezli bir şirket olan Hello Spor Salyası’nı vurdu. Web Sitesi Planet’in Siber Güvenlik Araştırmacısı Jeremiah Fowler, bir şifre tarafından korunmayan ve çok sayıda ses dosyası açığa çıkaran bir veritabanı keşfetti.
Maruz kalan verilere bir bakış
Hackread.com ile paylaşılan Fowler’ın bulguları, veritabanının 2020’den 2025’e kadar toplanan telefon kayıtlarını ve sesli mesajları içeren 1,6 milyondan fazla ses dosyası (özellikle 1.605.345 dosya) içerdiğini ortaya koyuyor. Bu dosyalar çeşitli kötü niyetli amaçlar için kullanılabilecek kişisel ayrıntılar içeriyordu. Veriler, korunmasız bir depolama alanında saklandığı için ortaya çıktı, bu da doğru bilgiye sahip herkesin bir şifreye ihtiyaç duymadan erişebileceği anlamına geliyor.
Daha fazla araştırma, kayıtların ABD ve Kanada’daki çok sayıda spor salonuna ait olduğunu ortaya koydu. Çağrılar iyi bilinen fitness marka isimlerine atıfta bulunurken, Fowler üçüncü taraf bir yüklenici Hello Gym’in veritabanını yönettiğini belirledi. Bunu, şirketlerin kendileri ses kaydetmemelerine rağmen, bazı bağımsız franchise sahiplerinin bu amaç için üçüncü taraf bir hizmet kullandıklarını açıklayan kurumsal temsilcilerle konuşarak doğruladı.
Maruz kalan ses dosyaları, şifre olmadan doğrudan herhangi bir web tarayıcısında oynanabilirdi (Web Sitesi Planet üzerinden ekran görüntüsü)
Her bir dosya için URL ve anahtarını gösteren, maruz kalan ses dosyalarının nesnesine genel bakış (Web Sitesi Planet üzerinden ekran görüntüsü)
Karşılıklı tarihleri ve zaman damgalarıyla maruz kalan MP3 dosyalarını gösteren ekran görüntüsü (Web Sitesi Planet üzerinden ekran görüntüsü)
İlgili yönü, ses dosyalarının içindeki bilgilerin müşteri adlarını, telefon numaralarını ve spor salonuna yapılan çağrılarının nedenlerini içermesidir. Bu tür veriler kişisel olarak tanımlanabilir bilgiler veya PII olarak adlandırılır ve maruz kalması potansiyel olarak spor salonu üyelerini ve personeli önemli risklere karşı savunmasız bırakabilir.
Veritabanının araştırmacının açıklanmasından sonraki saatler içinde güvence altına alındığını belirtmek gerekir. Ancak, veritabanının ne kadar süre maruz kaldığı veya başka birinin ona erişip kazanmadığı bilinmemektedir.
Riskler ve tehlikeler
Teknolojinin her zaman ilerlediği bir dünyada, ses kayıtları, özellikle bir kişinin sesini içerenler, siber suçlular için oldukça değerlidir, çünkü bunlar mızrak avlama veya sosyal mühendislik saldırıları, taklit veya kimlik hırsızlığı için kullanılabilir. Fowler’ın blog yazısında, ses kayıtlarının ve sesli mesajların “genellikle kişisel detayları içerdikleri için kamuya erişilememesi gerektiğini” belirttiği gibi.
Örneğin, bir dolandırıcı, bir sesli mesajın belirli ayrıntılarını güven oluşturmak ve birisini daha fazla özel bilgi vermek için kandırmak için kullanabilir. Spor personeli üyelerini kolayca taklit edebilir ve hassas ödeme bilgilerini veya diğer özel verileri paylaşmaya ikna edebilirler.
Ayrıca, sesli veriler, ikna edici ama yanlış kayıtlara atıfta bulunan ve bireyleri dolandırıcılık veya mali suçlar için taklit etmek için kullanan derin dişler oluşturmak için kullanılabilir. Veritabanının derhal güvence altına alınması olumlu bir adım olsa da, bu tür hassas verilerin maruz kalması, tüm şirketlerin müşterilerinin bilgilerini korumada uyanık olması için kritik ihtiyacı vurgulamaktadır.