Araştırmacılar, hizmet kullanıcıları için büyük sonuçları olabilecek güvenlik sorunları bulduktan sonra Hive geçen Çarşamba günü çevrimdışına alındı.
Son zamanlarda tercih ettiğiniz sosyal medya sitesini değiştirmiş olabilirsiniz, ancak bu, daha az tanıdık sitelerin ve hizmetlerin güvenlik üzerindeki etkilerinin göz ardı edilebileceği anlamına gelmez.
Sitelerin kendileri için, yeni kullanıcı akınıyla başa çıkmak büyük bir baş ağrısından başka bir şey olamaz. Ve son zamanlarda popülaritesinin artmasıyla birlikte daha fazla incelemeye maruz kalan Mastodon gibi daha köklü kuruluşlar bile şikayetlerden ve olası güvenlik sorunlarından zarar görmemiş değil.
Aslında, Infosec Mastodon bile şu anda ara sıra bir sıkışma hissediyor.
Soldaki aşamaya girin: Hive Social
Başka yerlerde, Hive Social gibi tamamen yeni hizmetler ortaya çıkıyor. Yüzeysel olarak Twitter’ı andıran yalnızca uygulamaya yönelik hizmet, çığ gibi büyüyen ağızdan ağza iletişim sayesinde çok kısa bir sürede bir milyon kullanıcıya ulaştı.
Hive popülerlik patlaması sırasında, uygulamanın arkasındaki inanılmaz derecede küçük ekip hakkında endişeler dile getirildi. Hive’ın CEO’su Mashable’a, işleri iki kişinin yürütmesiyle ilgili endişelerle ilgili olarak şunları söyledi:
“…iki yıldır iki kişiydik. Biz bu şekilde çalışmaya alışkınız” dedi.
Sosyal medya ve benzeri girişimlerin, kendi kendilerine nasıl kod yazılacağını öğreten insanlar tarafından yönetildiği, kendi kendini finanse ettiği ilk günlerden bu yana uzun bir geçmişi vardır. Küçük başlayın, para kazanın ve sorunlar büyüdükçe iş de büyür. O zamandan beri işler ilerledi ve artık başa çıkılması gereken sonsuz bir sorun seli var. Hükümetlerden ve kolluk kuvvetlerinden gelen istilacı veri talepleri. Söz konusu taleplerle ilgilenecek bir hukuk ekibi. Büyük ölçekte ılımlılık. Hükümet endişeleri. DCMA süreçleri. CSAM’ın tehlikeleri.
Sorunlar büyüdükçe, diğer taraftaki ekipler de değişen başarı seviyeleriyle ölçeklendirmek için yasal ve teknik kesintilerle büyüdü. O zaman bile, dünyanın en büyük sosyal medya platformlarının bu sorunlara kalıcı çözümlere yaklaşan hiçbir şeyi yok. Tüm bunlarla gerçekten iki veya üç kişi baş edebilir mi? İlk büyük sorun ortaya çıktığında ve uğraşmanız gereken bir milyon kullanıcınız olduğunda ne olur?
Cevap, bir güvenlik kusurunu düzeltmek için hizmetinizi tamamen kapatmanızdır.
Hive Social fişi çekiyor
Araştırmacılar, hizmet kullanıcıları için büyük sonuçları olabilecek güvenlik sorunları bulduktan sonra Hive geçen Çarşamba günü çevrimdışına alındı. Saldırganların, özel mesajlara, özel gönderilere ve silinmiş doğrudan mesajlara kadar uzanan tüm verilere erişebilecekleri iddia ediliyor.
Ek olarak, diğer kullanıcılar tarafından yapılan gönderilerin üzerine de yazılabilir. Araştırmacılardan oluşan ekip, kötüye kullanımdan emin olamadıkları için güvenlik açıklarının ayrıntılarını yayınlamaktan kaçındı. Hive Social tarafından her şeyin düzeltilmesi için verilen sözde iki günlük süreden sonra bildirilen sorunların en azından bazılarının hala aktif olduğu iddia edildi. Kamuya açık olarak konuşulan zaman çizelgeleri üzerinde bazı tartışmaların olduğu belirtilmelidir. Araştırmacılar, Hive Social’ın her şeyin belirli bir zaman dilimi içinde düzeltildiğini iddia edip etmediği veya sürekli bir şekilde ele alınıp alınmadığı konusunda fikir ayrılığına düştüler:
Merhaba! Sorunların çözüldüğünü iddia etmedik, ancak *düzelttiğimizi* ve bugün de iletişim-konuşmada kaldığımızı iddia ettik.
— Kovan (@TheHIVE_Social) 1 Aralık 2022
Aslında bu, “Hive’ın CEO’su ile bizim aramızdaki iletişimsizlik” nedeniyle bir paragrafın yeniden yazıldığı orijinal araştırma parçasına yapılan bir güncellemede ele alınmaktadır. Herkes ayağa kalksın!
Aşağı ama dışarı değil
Yazma sırasında, Hive hala geri dönmedi kendi kendine dayattığı sürgünden.
“Çok büyük, çok erken” doruk noktasına ulaşan ve kısa bir süre sonra tamamen kesinti fişi çekmesiyle onu yaralayan başka bir sosyal medya ağı düşünmeye çalışıyorum. Yalnızca bir avuç personel mevcutken, güvenlik sorunlarının denenmesi ve çözülmesi için dış kaynaklardan temin edilmesi gerektiğini öğrenmek şaşırtıcı olmaz. Bu şeyler zaman alır ve Hive’ın bir süre daha kapalı kalması mümkündür.
En iyi senaryo, kötü niyetli hiç kimsenin güvenlik açıklarını keşfetmemesi ve kullanıcı verilerini toplamamasıdır. Bu kadar genç bir hizmet için, kolayca ölümcül bir darbe olabilir. Daha yerleşik bir yere taşınıp bu işi bitirebilecekken, bir sonraki adımda neyin yanlış gittiğini öğrenmek için neden ortalıkta dolaşasınız ki?
Her neyse, bu acemi sosyal medya uygulamasına ve ayrıca tüm kullanıcılarına bol şans. Çevrimiçi etkileşimleriniz için eğlenceli ve güvenli alternatifler her zaman iyi bir şeydir. Hive Social’ın teslim edebileceğini umalım.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.