Faturalama ve faturalama platformu Invoicely’ye ait veya bu platformla bağlantılı bir veri tabanının hiçbir şifre veya şifreleme olmadan keşfedilmesinin ardından büyük miktarda özel iş ve kişisel kayıt çevrimiçi ortamda açığa çıktı.
Bu veritabanını keşfeden ilk kişi siber güvenlik araştırmacısı Jeremiah Fowler oldu. Araştırmacıya göre veritabanı, dünya çapındaki müşterilerden, ortaklardan ve çalışanlardan gelen hassas bilgileri içeren yaklaşık 180.000 dosyayı barındırıyordu.
Bilginiz olsun, Viyana merkezli Invoicely (Stack Holdings GmbH tarafından), kullanıcılara tahmin oluşturma, faturalamayı yönetme, ödeme hatırlatıcıları gönderme ve zaman ve araç kilometresi gibi şeyleri takip etme konusunda yardımcı olan bulut tabanlı bir platformdur. Platformun dünya çapında 250.000’den fazla işletme tarafından yaygın olarak kullanıldığı bildiriliyor.
Neler Açığa Çıktı
Açığa çıkan veri tabanında faturalar, çeşitli vergi formları, çek görselleri ve banka bilgileri dahil olmak üzere tam olarak 178.519 dosya bulunuyordu. Veriler CSV ve PDF gibi yaygın formatlarda bulundu. Bu materyal aynı zamanda isimler, fiziksel adresler, telefon numaraları ve vergi kimlik numaraları gibi Kişisel Olarak Tanımlanabilir Bilgileri (PII – isimler ve adresler gibi özel veriler) de içeriyordu. Ayrıca Fowler, uçak biletleri ve tıbbi ödeme makbuzları gibi gizli tutulması gereken başka belgeler de buldu.
Açığa çıkan verilerden ekran görüntüsü (Web Sitesi Planet_ aracılığıyla)
Açığa çıkan verilerden ekran görüntüsü (Web Sitesi Planet_ aracılığıyla)
Açığa çıkan verilerden ekran görüntüsü (Web Sitesi Planet_ aracılığıyla)
Açık Veriyle İlişkili Riskler
Bu tür verilerin açığa çıkması, siber suçlulara yararlanabilecekleri zengin miktarda bilgi sağladığı için kimlik hırsızlığı ve mali dolandırıcılık açısından ciddi riskler oluşturur. Örneğin adların, adreslerin ve finansal hesap numaralarının varlığı, hedef odaklı kimlik avı da dahil olmak üzere yüksek hedefli saldırılar için kullanılabilir.
Ayrıca faturaların ifşa edilmesi, suçluların şirketleri sahte ödemeler yapmaları için kandırdığı fatura dolandırıcılığında da kullanılabilir. 2024 AFP Ödeme Sahtekarlığı ve Kontrol Araştırması’na göre kuruluşların %80’i 2023’te bir tür fatura dolandırıcılığı saldırısıyla karşılaştı.
Hackread.com ile paylaşılan bu araştırma, bu hassas verileri işleyen kuruluşların, ifşa edilse bile “doğru kimlik bilgileri olmadan erişimi son derece zor” hale getirmek için bu verileri şifrelemeleri gerektiğine dikkat çekiyor.
Araştırmacının şirkete bildirimde bulunmasının ardından veri tabanının sorumlu bir ifşa uygulamasını takiben hızla çevrimdışına alındığını belirtmekte fayda var. Ancak veritabanının doğrudan Invoicely tarafından mı yoksa üçüncü taraf bir yüklenici tarafından mı yönetildiği, bilgilerin ne kadar süreyle kamuya açık olduğu veya yetkisiz bir kişinin verilere erişip erişmediği bilinmiyor. Bu nedenle kullanıcılara çok faktörlü kimlik doğrulamayı kullanmaları ve şifreleri tekrar kullanmaktan kaçınmaları tavsiye ediliyor.